Warum Gamification der Schlüssel zur Verbesserung der Softwaresicherheit ist

アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。

Unabhängig davon, wie unterschiedlich die Situation ist, wie viel Erfahrung das Team hat und wie viel Zeit in dieser sich ständig verändernden digitalen Welt vergangen ist, gibt es ein Problem, das immer gleich bleibt. Das ist die Tatsache, dass Entwicklungsteams selten aktiv in die Sicherheit einbezogen werden. Sicherheit ist nach wie vor ein Schimpfwort und führt zu Konflikten zwischen Teams und ist ein Problem hinter den Kulissen der Branche.

Allerdings ist die Softwaresicherheit nach unserer allgemeinen Auffassung zu wichtig, um diesen Weg weiter zu beschreiten. Um Sicherheit zu einem unverzichtbaren Bestandteil der Arbeit aller Entwickler zu machen, müssen wir die Diskussion ändern. Eine der besten Möglichkeiten dafür ist meiner Meinung nach, Entwicklern durch Gamification und ähnliche Methoden Kompetenzen im Bereich Sicherheit zu übertragen und sie einzubeziehen.

Die aktuelle Landschaft

Entwickler verlassen die Universität mit kaum praktischen Kenntnissen über die Bereitstellung sicherer Codes und nehmen Tätigkeiten auf, bei denen Sicherheitsschulungen selten Priorität haben (wenn doch, dann meist als Teil eines obligatorischen Compliance-Videos zu Gesundheit und Sicherheit, das so langweilig ist, dass sich niemand für sicheres Codieren interessiert). Oftmals sind die ersten Erfahrungen mit Sicherheit Bug-Reports aus Audits und Tests, die dazu führen, dass zukünftige Releases plötzlich gestoppt werden undund ihre Kreativität wird augenblicklich unterbrochen und zur obersten Priorität. Da sie mit den Verantwortlichen für Sicherheitsberichte in Konflikt stehen, ist „Sicherheit” in ihren Köpfen zum Synonym für „Kritik” geworden. Verdammt noch mal.

Ehrlich gesagt finde ich es wirklich bedauerlich, dass sich eine derart negative Wahrnehmung der Softwaresicherheit verbreitet hat. Schließlich gehören einige der schönsten Erinnerungen meiner Karriere zu den Dingen, die ich über Softwaresicherheit gelernt habe. In meinen Anfängen als Hacker habe ich viel Zeit auf Konferenzen verbracht. Dort konnte ich nicht nur meine Fähigkeiten mit Kollegen testen (und, um ehrlich zu sein, ein wenig damit prahlen), sondern auch Gleichgesinnte treffen, die genauso viel Spaß daran hatten, Software zu zerstören wie ich.

BruCon, DefCon, BlackHat... Diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in einem freundschaftlichen Wettbewerb unter Beweis zu stellen. Ich würde niemals zugeben, dass ich an solchen antisozialen Aktivitäten teilgenommen habe, aber es gab Leute, die sich in die Telefone anderer Teilnehmer hackten und Informationen auf dem Präsentationsbildschirm anzeigten, um sie allen zu zeigen und so ihre Hackerfähigkeiten zu demonstrieren. Es wurde zu einem Spiel, diese Schwachstellen zu finden, auszunutzen und zu beheben, um die Software zu verbessern.Vor einigen Jahren hatte ich die Gelegenheit, vor Hunderten von Kindern im Nahen Osten zu stehen und ihnen etwas über Cybersicherheit beizubringen. Ich erinnere mich noch gut an eine achtjährige Schülerin, die beim Spielen etwas über Brute-Force-Angriffe auf Passwörter und Base64-Kodierung gelernt hat.

Gamification wird auch für den Unterricht von Programmierkenntnissen eingesetzt. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um schon sehr jungen Kindern bis zur Oberstufe das Programmieren beizubringen. Mittlerweile nehmen sogar schon 4-Jährige regelmäßig an Initiativen wie Code Campteil, und es gibt viele großartige Online-Programme, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe auch ein tolles Tool namens Cubettogekauft, ein bildschirmfreies Programmierwerkzeug für meine 4-jährige Tochter.

しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。

Nun ja... es gibt fast niemanden. Vor einigen Jahren wurde mir klar, dass wir die Sicherheit wieder spannender gestalten und die Motivation der Entwickler steigern müssen, damit sie sich beteiligen und mit dem Spielen beginnen.

Gamification: Ein einfacher Ansatz.

私の中には、セキュリティに関する知識を開発者に高め、力を与えたいという強い意欲があり、この情熱こそが、Secure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要で、本当にワクワクするものでもあります。

Ich bin nicht der Einzige, der darüber nachdenkt.

Gamification macht alltägliche Aufgaben viel unterhaltsamer und sorgt dafür, dass die Menschen nicht die Lust verlieren, weiterzuspielen, zu gewinnen und Fortschritte zu erzielen. Schauen Sie sich nur Pokémon Go an! Selbst die faulsten Menschen suchen draußen nach fiktiven Kreaturen, und viele Menschen haben es sich zum täglichen Ziel gesetzt, ihre FitBit-Schritte zu erreichen... Wenn diese Ziele nicht erreicht werden, die Siegesserie endet und man keine Abzeichen erhält, ist die Enttäuschung groß.

Nun zurück zum Thema Sicherheitstraining. Wir haben vielen Kunden bewiesen, dass Gamification die Sicherheitskultur in Unternehmen wirklich verändern, eine Brücke zwischen Anwendungssicherheitsteams und Entwicklungsteams schlagen und generell zur Erstellung hochwertiger Software beitragen kann.

Derzeit hat Sicherheit für Entwickler keine Priorität. Durch die Einbindung benutzerfreundlicher, wettbewerbsfähiger und attraktiver Elemente in die Trainingsmethoden kann die Motivation gesteigert werden, nicht nur zu „spielen“, sondern auch mehr Punkte zu sammeln, Highscores zu knacken, präziser zu werden und zurückzukommen, um sich mit anderen Teammitgliedern zu messen.

トレーニングが成功すると次のようになることはすでにわかっています。

• Entwickler können mit tatsächlichem Code und ihren eigenen Sprachen/Frameworks arbeiten.
• Die Aufgaben sind kurz und decken alle allgemeinen Sicherheitslücken ab.
• Die Herausforderungen werden ständig erweitert und aktualisiert, sodass Entwickler ihre Fähigkeiten kontinuierlich weiterentwickeln können.
• 課題の複雑さはさまざまであるため、上級開発者と経験の浅い開発者の両方にとって魅力的です。
• Entwickler und ihre Manager können den Fortschritt überprüfen, einschließlich abgeschlossener Aufgaben, Stärken und Schwächen, für Schulungen aufgewendeter Zeit und der Gesamtgenauigkeit.

Ein großer Kunde hat die wahre Attraktivität der Gamification-Plattform unter Beweis gestellt, indem er den Entwicklern themenbezogene Teamausrüstung zur Verfügung stellte und den Gewinnern des Spiels großartige Preise bot, wodurch das Turnier zu einem unvergesslichen Erlebnis wurde. Seitdem veranstalten sie internationale Wettbewerbe, und das gesamte Team widmet sich nach wie vor ernsthaft dem Training.

Ihre eigene Software-Revolution beginnt hier. Die australische Bankenbranche ist Vorreiter bei der Einführung von Gamification-Schulungen im Kampf gegen fehlerhaften Code – mit einem wirklich innovativen Ansatz, der herkömmliche (oder langweilige) Schulungen auf den Kopf stellt. Sehen Sie sich an, was unsere Kunden in diesen Schulungen erreicht haben: Turniere der nächsten Stufe. Sind Sie bereit? Möchten Sie Ihr Team gemeinsam mit uns auf die nächste Stufe bringen?

Wir müssen das Thema wechseln und uns bemühen, Sicherheit zu einem unverzichtbaren Bestandteil der Arbeit aller Entwickler zu machen. Eine der besten Methoden dafür ist meiner Meinung nach, Entwicklern durch Gamification und ähnliche Maßnahmen Kompetenzen im Bereich Sicherheit zu übertragen und sie einzubeziehen.