セキュア・コーディングを中心とした組織の再編—障壁、懸案事項、積極的な解決策
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.
Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76 % nominierte Anwendungsleistung
- 62% wählten Features und Funktionalität
- Und etwas mehr als 50% wählten sicheren Code
Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität.
Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird.
Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen.
Bedenken und Barrieren rund um sichere Kodierungspraktiken
Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst.
Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.
Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken.
45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.
Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden.
Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind.
Mehr Sicherheits-Champions schaffen
Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen.
Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.
83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung.
Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.
Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten?
Lösungen, um die Neuausrichtung in Angriff zu nehmen
Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien.
Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind.
Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht.
Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.
Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.
*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
.avif)
高度に接続されたこの世界では、ほぼすべての組織が共通のアキレス腱を共有しています。コード内の 1 つの脆弱性が悪用されるだけで、顧客データの盗難、評判の低下、および重大な経済的損失を引き起こす可能性があります。安全なコーディングに関する組織の連携はかつてないほど必要不可欠ですが、それを達成することは口で言うほど簡単ではありません。
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.
Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76 % nominierte Anwendungsleistung
- 62% wählten Features und Funktionalität
- Und etwas mehr als 50% wählten sicheren Code
Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität.
Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird.
Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen.
Bedenken und Barrieren rund um sichere Kodierungspraktiken
Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst.
Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.
Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken.
45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.
Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden.
Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind.
Mehr Sicherheits-Champions schaffen
Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen.
Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.
83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung.
Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.
Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten?
Lösungen, um die Neuausrichtung in Angriff zu nehmen
Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien.
Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind.
Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht.
Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.
Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.
*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.
Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76 % nominierte Anwendungsleistung
- 62% wählten Features und Funktionalität
- Und etwas mehr als 50% wählten sicheren Code
Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität.
Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird.
Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen.
Bedenken und Barrieren rund um sichere Kodierungspraktiken
Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst.
Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.
Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken.
45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.
Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden.
Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind.
Mehr Sicherheits-Champions schaffen
Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen.
Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.
83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung.
Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.
Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten?
Lösungen, um die Neuausrichtung in Angriff zu nehmen
Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien.
Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind.
Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht.
Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.
Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.
*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Dieser Artikel wurde vom Branchenexperten-Team von Secure Code Warrior verfasst. Er zielt darauf ab, Entwicklern das Wissen und die Fähigkeiten zu vermitteln, die sie benötigen, um von Anfang an sichere Software zu entwickeln. Dabei werden fundierte Fachkenntnisse über die Praxis des sicheren Codierens, Branchentrends und Einblicke aus der Praxis genutzt.
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Schwachstelle, nur ein ausnutzbarer Riss im Code, kann den Diebstahl von Kundendaten, Rufschädigung und erhebliche finanzielle Verluste auslösen. Die Ausrichtung der Organisation auf sichere Codierung war noch nie so wichtig wie heute - aber das ist leichter gesagt als getan. Daher hat Secure Code Warrior im Jahr 2020 gemeinsam mit Evans Data Corp. eine Primärstudie* über die Einstellung von Entwicklern und Managern zu sicherer Programmierung, sicheren Code-Praktiken und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit an erster Stelle steht, werden die traditionellen KPIs für den Projekterfolg neu definiert - aber nicht schnell genug.
Als wir Entwickler und Manager nach den kritischsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76 % nominierte Anwendungsleistung
- 62% wählten Features und Funktionalität
- Und etwas mehr als 50% wählten sicheren Code
Wie wir heute sehen können, hat die Sicherheit keine entscheidende Priorität.
Aber wenn man in die Zukunft blickt, ändert sich das Bild dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79 % der Entwickler zu, dass sichere Kodierung immer wichtiger wird. Tatsächlich sehen die Entwickler die Sicherheit als den KPI, dessen Bedeutung am meisten zunehmen wird.
Aber auch wenn das Bewusstsein für sicheres Coding zunimmt, gibt es Bedenken hinsichtlich der Umsetzung. Für Entwickler und Manager gleichermaßen ist der Umgang mit Schwachstellen und die Verantwortung für den Code genug, um sie nachts wach zu halten. Unsere Untersuchung* hat gezeigt, dass diese beiden Gruppen die gleichen grundlegenden Bedenken haben, die auf einen Bedarf an besserer Schulung in sicheren Codierungspraktiken hinweisen.
Bedenken und Barrieren rund um sichere Kodierungspraktiken
Die größte Sorge für Entwickler ist das "Einfügen von Code, der frühere Schwachstellen wiederholt". Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist dies kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein - oder Code, der Nacharbeit erfordert und sein Team ausbremst.
Die zweitwichtigste Sorge der Entwickler ist der Umgang mit Fehlern, die von Kollegen eingebracht werden. Die Einhaltung von Fristen und die Verantwortung für den Code stehen ebenfalls ganz oben auf der Liste - ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den derzeitigen Schulungsansätzen widerspiegelt.
Manager hingegen nehmen eher eine Top-Down-Sicht ein. Ihre größte Sorge ist es, für schlechten Code oder Code, der frühere Schwachstellen repliziert, verantwortlich zu sein. Denn wenn ihr Team miserablen Code produziert, liegt die Verantwortung beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, kommt an dritter Stelle - dies ist nicht die einzige Barriere für sichere Codierungspraktiken.
45 % nannten die mangelnde Kommunikation zwischen Stakeholdern und Management als wesentliches Hindernis. 42 % beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig nannten 40 % unzureichende Schulungszeit und -ressourcen.
Die derzeitigen Schulungsansätze für sicheren Code sind nicht zielführend - und die Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Es liegt in der Natur der Sache, dass die Praxis der sicheren Kodierung bedeutet, die Sicherheit viel früher im SDLC zu berücksichtigen. Es bedeutet, die Sicherheit aktiv in die Software einzubauen, während sie geschrieben wird, und zwar von Anfang an, anstatt dies auf später zu verschieben. Mit anderen Worten, eine "Verschiebung nach links". Diese "Linksverschiebung" ist die Essenz einer sicheren Kodierungspraxis. Und es bedeutet, dass letztendlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber im Moment sind nur 15 % der Entwickler damit einverstanden.
Während jedoch die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem sehen, gibt es eine kleine, aber wachsende Gruppe, die sich nicht nur aktiv für sichere Programmierung einsetzt, sondern sich auch innerhalb ihrer Organisation dafür einsetzt. 29 % der befragten Entwickler stimmen zu, dass es in ihrem Unternehmen solche Vorreiter gibt. Das Problem ist, dass diese "Secure Code Champions" noch zu dünn gesät sind.
Mehr Sicherheits-Champions schaffen
Entwicklungsleiter sind sich der Notwendigkeit bewusst, neue Sicherheits-Champions zu identifizieren und zu schaffen und die Fähigkeiten der Entwickler zur sicheren Programmierung im Allgemeinen zu erhöhen.
Viele Manager legen auch bei der Einstellung neuer Entwickler Wert auf sichere Programmierkenntnisse und schätzen die Erfahrung mit sicherer Programmierung bei Entwicklern, die bereits Teil ihres Teams sind.
83 % der befragten Manager geben an, dass sie Entwickler auffordern, sichere Codierungspraktiken zu erlernen oder zu übernehmen. Etwa drei Viertel der befragten Manager geben an, dass sie den Entwicklern Anreize für die Teilnahme an Schulungen zu sicherem Code bieten. Diese Anreize reichen von formaler Anerkennung über größere Verantwortung bis hin zu höherer Bezahlung.
Es ist klar, dass Entwicklungsmanager einen entscheidenden Einfluss auf die Einführung von sicheren Codierungspraktiken auf Unternehmensebene haben - und entscheidend sind, um Sicherheits-Champions ausfindig zu machen.
Aber wenn es darum geht, mehr von diesen Champions zu schaffen, was motiviert Entwickler, sich mit sicherem Coding zu beschäftigen? Unsere Untersuchungen zeigen, dass sie es als Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum also drängen Entwickler nicht auf mehr Schulungen für sicheren Code? Was hindert sie daran, sich an einem wachsenden organisatorischen Bedarf auszurichten?
Lösungen, um die Neuausrichtung in Angriff zu nehmen
Entwickler wollen nicht herumsitzen und Dozenten zuhören - sie wollen die Dinge selbst in die Hand nehmen und sie ausprobieren. Sie wollen einen Fokus auf praktische Anwendungen - etwas, das den aktuellen Schulungsprogrammen fehlt. Auf die Frage, wie die vom Unternehmen bereitgestellten Schulungen verbessert werden könnten, gaben 30 % der Befragten an, dass sie sich wünschen würden, dass sich die Schulungen auf praktische Anwendungen konzentrieren, insbesondere auf authentische Arbeitsszenarien.
Die derzeitigen Schulungspraktiken können dies nicht leisten. Ein neuer Ansatz ist gefragt - und als Verfechter des Wandels verfolgt Secure Code Warrior einen menschengeführten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unser Cybersecurity Courses bieten geführte Lernpfade, die praktische, "spielerische" Coding-Herausforderungen beinhalten, die denen in der realen Welt nachempfunden sind.
Dieses Training ist sprach:rahmenspezifisch, im Gegensatz zu allgemeinem Training, das oft zum einen Ohr rein und zum anderen wieder raus geht.
Wenn es darum geht, die Kultur neu auszurichten, Tournaments kann verwendet werden, um die Sicherheitskompetenzen der Programmierer zu messen, eine Basislinie für die künftige Kompetenzentwicklung zu erstellen und die potenziellen Sicherheits-Champions innerhalb Ihres Entwicklungsteams zu erkennen.
Wenn Sie mehr über Schulungen zu sicherem Code wissen möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierung in der Zukunft ausrichten, jetzt eine Demo buchen.
*Shifting from reaction to prevention: The changing face of application security. Secure Code Warrior und Evans Data Corp. 2020
目次
Secure Code Warrior macht sicheres Codieren zu einer positiven und attraktiven Erfahrung, während Entwickler ihre Fähigkeiten verbessern. Es führt jeden einzelnen Programmierer auf den von ihm gewünschten Lernpfad, damit Entwickler mit Sicherheitskenntnissen in unserer vernetzten Welt täglich zu Superhelden werden können.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
