Secure Code Insight

アプリケーションセキュリティマネージャー、CISO、CIO、サイバーセキュリティの専門家など、私自身のソフトウェア開発とセキュリティにおけるキャリアの中で、世界中のあらゆる種類の企業で働いている彼らの多くと話をしてきました。

Unabhängig davon, wie unterschiedlich die Situation ist, wie viel Erfahrung das Team hat und wie viel Zeit in dieser sich ständig verändernden digitalen Welt vergangen ist, gibt es ein Problem, das immer gleich bleibt. Das ist die Tatsache, dass Entwicklungsteams selten aktiv in die Sicherheit einbezogen werden. Sicherheit ist nach wie vor ein Schimpfwort und führt zu Konflikten zwischen Teams und ist ein Problem hinter den Kulissen der Branche.

Allerdings ist die Softwaresicherheit nach unserer allgemeinen Auffassung zu wichtig, um diesen Weg weiter zu beschreiten. Um Sicherheit zu einem unverzichtbaren Bestandteil der Arbeit aller Entwickler zu machen, müssen wir die Diskussion ändern. Eine der besten Möglichkeiten dafür ist meiner Meinung nach, Entwicklern durch Gamification und ähnliche Methoden Kompetenzen im Bereich Sicherheit zu übertragen und sie einzubeziehen.

Die aktuelle Landschaft

Entwickler verlassen die Universität mit kaum praktischen Kenntnissen über die Bereitstellung sicherer Codes und nehmen Tätigkeiten auf, bei denen Sicherheitsschulungen selten Priorität haben (wenn doch, dann meist als Teil eines obligatorischen Compliance-Videos zu Gesundheit und Sicherheit, das so langweilig ist, dass sich niemand für sicheres Codieren interessiert). Oftmals sind die ersten Erfahrungen mit Sicherheit Bug-Reports aus Audits und Tests, die dazu führen, dass zukünftige Releases plötzlich gestoppt werden undund ihre Kreativität wird augenblicklich unterbrochen und zur obersten Priorität. Da sie mit den Verantwortlichen für Sicherheitsberichte in Konflikt stehen, ist „Sicherheit” in ihren Köpfen zum Synonym für „Kritik” geworden. Verdammt noch mal.

Ehrlich gesagt finde ich es wirklich bedauerlich, dass sich eine derart negative Wahrnehmung der Softwaresicherheit verbreitet hat. Schließlich gehören einige der schönsten Erinnerungen meiner Karriere zu den Dingen, die ich über Softwaresicherheit gelernt habe. In meinen Anfängen als Hacker habe ich viel Zeit auf Konferenzen verbracht. Dort konnte ich nicht nur meine Fähigkeiten mit Kollegen testen (und, um ehrlich zu sein, ein wenig damit prahlen), sondern auch Gleichgesinnte treffen, die genauso viel Spaß daran hatten, Software zu zerstören wie ich.

BruCon, DefCon, BlackHat... Diese Veranstaltungen boten Leuten wie mir die Möglichkeit, unsere Fähigkeiten in einem freundschaftlichen Wettbewerb unter Beweis zu stellen. Ich würde niemals zugeben, dass ich an solchen antisozialen Aktivitäten teilgenommen habe, aber es gab Leute, die sich in die Telefone anderer Teilnehmer hackten und Informationen auf dem Präsentationsbildschirm anzeigten, um sie allen zu zeigen und so ihre Hackerfähigkeiten zu demonstrieren. Es wurde zu einem Spiel, diese Schwachstellen zu finden, auszunutzen und zu beheben, um die Software zu verbessern.Vor einigen Jahren hatte ich die Gelegenheit, vor Hunderten von Kindern im Nahen Osten zu stehen und ihnen etwas über Cybersicherheit beizubringen. Ich erinnere mich noch gut an eine achtjährige Schülerin, die beim Spielen etwas über Brute-Force-Angriffe auf Passwörter und Base64-Kodierung gelernt hat.

Gamification wird auch für den Unterricht von Programmierkenntnissen eingesetzt. Bildungseinrichtungen auf der ganzen Welt nutzen diesen Ansatz, um schon sehr jungen Kindern bis zur Oberstufe das Programmieren beizubringen. Mittlerweile nehmen sogar schon 4-Jährige regelmäßig an Initiativen wie Code Campteil, und es gibt viele großartige Online-Programme, die Kindern das Programmieren in Python und anderen Sprachen beibringen. Ich habe auch ein tolles Tool namens Cubettogekauft, ein bildschirmfreies Programmierwerkzeug für meine 4-jährige Tochter.

しかし、このような楽しさと進歩にもかかわらず、ギャップがあります。ゲーミフィケーションを活用して開発者に安全なコードを書く方法を教える可能性については誰も考えていませんでした。

Nun ja... es gibt fast niemanden. Vor einigen Jahren wurde mir klar, dass wir die Sicherheit wieder spannender gestalten und die Motivation der Entwickler steigern müssen, damit sie sich beteiligen und mit dem Spielen beginnen.

Gamification: Ein einfacher Ansatz.

私の中には、セキュリティに関する知識を開発者に高め、力を与えたいという強い意欲があり、この情熱こそが、Secure Code Warriorを開発するきっかけとなりました。ソフトウェア・セキュリティは非常に重要で、本当にワクワクするものでもあります。

Ich bin nicht der Einzige, der darüber nachdenkt.

Gamification macht alltägliche Aufgaben viel unterhaltsamer und sorgt dafür, dass die Menschen nicht die Lust verlieren, weiterzuspielen, zu gewinnen und Fortschritte zu erzielen. Schauen Sie sich nur Pokémon Go an! Selbst die faulsten Menschen suchen draußen nach fiktiven Kreaturen, und viele Menschen haben es sich zum täglichen Ziel gesetzt, ihre FitBit-Schritte zu erreichen... Wenn diese Ziele nicht erreicht werden, die Siegesserie endet und man keine Abzeichen erhält, ist die Enttäuschung groß.

Nun zurück zum Thema Sicherheitstraining. Wir haben vielen Kunden bewiesen, dass Gamification die Sicherheitskultur in Unternehmen wirklich verändern, eine Brücke zwischen Anwendungssicherheitsteams und Entwicklungsteams schlagen und generell zur Erstellung hochwertiger Software beitragen kann.

Derzeit hat Sicherheit für Entwickler keine Priorität. Durch die Einbindung benutzerfreundlicher, wettbewerbsfähiger und attraktiver Elemente in die Trainingsmethoden kann die Motivation gesteigert werden, nicht nur zu „spielen“, sondern auch mehr Punkte zu sammeln, Highscores zu knacken, präziser zu werden und zurückzukommen, um sich mit anderen Teammitgliedern zu messen.

トレーニングが成功すると次のようになることはすでにわかっています。

• Entwickler können mit tatsächlichem Code und ihren eigenen Sprachen/Frameworks arbeiten.
• Die Aufgaben sind kurz und decken alle allgemeinen Sicherheitslücken ab.
• Die Herausforderungen werden ständig erweitert und aktualisiert, sodass Entwickler ihre Fähigkeiten kontinuierlich weiterentwickeln können.
• 課題の複雑さはさまざまであるため、上級開発者と経験の浅い開発者の両方にとって魅力的です。
• Entwickler und ihre Manager können den Fortschritt überprüfen, einschließlich abgeschlossener Aufgaben, Stärken und Schwächen, für Schulungen aufgewendeter Zeit und der Gesamtgenauigkeit.

Ein großer Kunde hat die wahre Attraktivität der Gamification-Plattform unter Beweis gestellt, indem er den Entwicklern themenbezogene Teamausrüstung zur Verfügung stellte und den Gewinnern des Spiels großartige Preise bot, wodurch das Turnier zu einem unvergesslichen Erlebnis wurde. Seitdem veranstalten sie internationale Wettbewerbe, und das gesamte Team widmet sich nach wie vor ernsthaft dem Training.

Ihre eigene Software-Revolution beginnt hier. Die australische Bankenbranche ist Vorreiter bei der Einführung von Gamification-Schulungen im Kampf gegen fehlerhaften Code – mit einem wirklich innovativen Ansatz, der herkömmliche (oder langweilige) Schulungen auf den Kopf stellt. Sehen Sie sich an, was unsere Kunden in diesen Schulungen erreicht haben: Turniere der nächsten Stufe. Sind Sie bereit? Möchten Sie Ihr Team gemeinsam mit uns auf die nächste Stufe bringen?

Wir müssen das Thema wechseln und uns bemühen, Sicherheit zu einem unverzichtbaren Bestandteil der Arbeit aller Entwickler zu machen. Eine der besten Methoden dafür ist meiner Meinung nach, Entwicklern durch Gamification und ähnliche Maßnahmen Kompetenzen im Bereich Sicherheit zu übertragen und sie einzubeziehen.

Am 3. September nahmen ich und einige Mitglieder meines Teams an der großartigen Security Awards Conference teil, die von CSO Australiaveranstaltet wurde. Es war eine der ersten Veranstaltungen dieser Art in Australien und eine großartige Zusammenstellung einiger der angesehensten Persönlichkeiten der Branche, die sich für Sicherheit einsetzen.in Security Awards war eine großartige Zusammenkunft einiger der angesehensten Sicherheitsexperten der Branche. Diese Veranstaltung war nicht nur eine Würdigung der Beiträge von Frauen zur Cybersicherheit, sondern auch eine lang erwartete Plattform, um die herausragenden Talente und Innovationen von Frauen vorzustellen, die oft im Hintergrund stehen und großartige Arbeit leisten.

Fatemah Beydoun, Vice President of Customer Success bei Secure Code Warrior (alias Chief Awesome), war an diesem Tag eine unverzichtbare Persönlichkeit. Sie hielt einen Vortrag zum Thema Mentoring für die Zukunft: Wie wir alle besser werden können, um weibliche Cybersicherheitstalente zu fördern. In zwölf Minuten konnte sie einem sehr aufgeschlossenen Publikum zwar nicht ihren gesamten Einfluss auf uns und die gesamte Cybersicherheitsbranche verdeutlichen, den sie über viele Jahre hinweg ausgeübt hat, aber sie hat (natürlich) bedeutende positive Veränderungen beobachtet.

Ein inklusiverer Ansatz.

「この業界でキャリアをスタートさせたとき、私は配属されたチームの中で数少ない女性の一人でした」とファテマは言います。ネットワーキングの機会の多くは男性中心だったため、参加して適切な人材と出会い、ビジネスに重要な価値を示すことは困難でした。私はその流れを変え、可能な限りインクルーシブな空間を作ろうと努めました。

„Ich habe zum Beispiel oft an Branchenveranstaltungen teilgenommen, aber viele Unternehmen setzten an ihren Ständen Promotionsmodels ein, um Aufmerksamkeit zu erregen. Theoretisch ist das kein Problem, aber da ich eindeutig nicht zur Zielgruppe gehörte, wurde ich oft ignoriert. Zu Beginn meiner Karriere war ich für die Organisation von Veranstaltungen zuständig. Ich schwor mir, dass ich einen umfassenderen und unterhaltsameren Weg finden würde, um die Aufmerksamkeit auf die von uns angebotenen Dienstleistungen zu lenken“, sagte sie.

Fatima und ich arbeiten schon seit langer Zeit zusammen, und sie hat sich stets für Inklusion und Vielfalt in unserem Unternehmen eingesetzt. Dies hat dazu geführt, dass mehr Frauen in unserem Team Karriere machen können, ihre wichtigen Beiträge anerkannt werden und unsere Kollegen durch unterschiedliche Ansätze, Meinungen und Lebenserfahrungen gestärkt werden.

„Natürlich möchte niemand eine Frau sein, die nur zum Schein da ist“, sagte Fatima. „Das Problem ist jedoch, dass Führungskräfte mit geringer Diversität dazu neigen, die Führungsrolle an Personen zu übertragen, die ihnen ähnlich sind und mit denen sie sich auf persönlicher Ebene identifizieren können. Diese Führungskräfte könnten von den Leistungen und Fähigkeiten von Frauen profitieren, doch oft ist es schwierig, sie davon zu überzeugen.Wenn das Managementteam die Vorteile der Vielfalt (die über das Geschlecht hinausgehen) erkennt, ist es oft bereit, diesen Weg einzuschlagen und motivierte, fähige Frauen zu befördern, die bereit sind, großartige Arbeit für das Unternehmen zu leisten“, sagte sie.

Flexibilität am Arbeitsplatz: Ein entscheidender Faktor für den Erfolg

Als ich mein eigenes Unternehmen gründete, lernte ich schnell, dass Teammitglieder ihre beste Arbeit leisten, wenn sie Raum zum Atmen haben. Flexibilität ist für jeden wichtig, aber Maßnahmen zur Unterstützung berufstätiger Familien tragen dazu bei, wichtige Mitarbeiter zu halten.

Eine der ersten hier eingeführten Richtlinien war die „Infant at Work Policy“. Diese ermöglicht es Müttern, schneller an ihren Arbeitsplatz zurückzukehren, da sie die für ihre Termine erforderliche Flexibilität genießen und ihre Säuglinge ohne Bedenken mit zur Arbeit bringen können.

「Ich wollte mich nicht zwischen Mutterschaft und Karriere entscheiden müssen. Dass ich meinen kleinen Sohn mit zur Arbeit nehmen konnte, war eine sehr positive Erfahrung, denn dadurch fühlte ich mich unterstützt und wertgeschätzt», sagte Fatima. «Meine Fähigkeiten sind auch nach der Geburt nicht verschwunden, und da ich Gründungsmitglied des Start-ups bin, möchte ich einfach nur zurückkommen!»

Auch sie hat ABC News über die Vorteile flexibler Arbeitszeiten berichtet:

Ist die Mentorenkultur weit verbreitet?

Um eine großartige Karriere zu beginnen und diese Dynamik aufrechtzuerhalten, ist es für sie eine hervorragende Idee, einen Mentor zu haben. In vielen Bereichen der IT, Cybersicherheit und anderen von Männern dominierten Branchen könnte dies jedoch etwas schwierig sein, da Frauen auf Führungsebene im Vergleich zu Männern deutlich unterrepräsentiert sind.

女性が指導的立場に「自分自身」を見出すことは重要ですが、男性はチーム内の賢い女性を引き上げ、可能な場合はメンターとして参加することでも支援できます。

„Führungsteams haben nicht nur einen großen Einfluss auf die Diversität einer Organisation, sondern können auch dafür sorgen, dass talentierte Frauen eine angemessene Bewertung und Karrierechancen erhalten, die ihnen zustehen. Ich habe dies bei Yvette Luzins, der Leiterin der Cybersicherheit bei Jetstar, beobachtet. Sie ist eine Fürsprecherin für Frauen und hat durch ihren eigenen Erfolg und ihre Bemühungen dazu beigetragen, dass andere Frauen selbstbewusst nach Spitzenpositionen streben können“, sagt Fatima.

Wir haben gerade gefeiert, dass Secure Code Warrior nun 100 Mitarbeiter beschäftigt. Wir sind stolz darauf, dass der Anteil der Frauen im gesamten Unternehmen über 50 % liegt. Fatemah ist ein großartiges Vorbild und eine Mentorin für alle.

Jedes Unternehmen profitiert von den unermesslichen Vorteilen einer vielfältigen Belegschaft. Das Geheimnis, um gute Ideen in großartige Ideen zu verwandeln, liegt in der Vielfalt der Meinungen aus verschiedenen Bereichen. Wie immer sind wir gemeinsam stärker.

Es gibt eine bekannte Theorie, dass Kakerlaken grundsätzlich alles überleben können. Selbst eine nukleare Explosion. Diese Theorie trifft zwar nur bis zu einem gewissen Grad zu, aber aufgrund ihrer einfachen Körperzusammensetzung sind sie für ihre Größe sehr widerstandsfähig und unter den meisten Bedingungen schwer auszurotten.

Ich habe lange darüber nachgedacht... Wenn es in der digitalen Welt etwas gibt, das mit Kakerlaken vergleichbar ist, dann ist es zweifellos die Schwachstelle der SQL-Injection (SQLi) im Code.Diese Schwachstelle ist seit über 20 Jahren bekannt, doch Unternehmen werden immer wieder Opfer dieser Angriffe. Die weitreichenden Folgen waren ebenso wie die kostspieligen Angriffe auf bestimmte Ziele das Ergebnis von SQL-Injektionen. Nach dem Hackerangriff auf die Wahlen in Illinois, bei dem 200.000 Wählerdaten veröffentlicht wurden, empfahl das FBI allen IT-Verantwortlichen, unverzüglich Maßnahmen zur Verbesserung der Sicherheit zu ergreifen.

Der Hacker Intelligence Initiative Report von Imperva hat ergeben, dass zwischen 2005 und 2011 bei 83 % aller gemeldeten Datenverletzungen SQLi-Angriffe zum Einsatz kamen. Auch heute noch sind Injektionsschwachstellen weltweit die größte Bedrohung. OWASP Top 10. Sie sind relativ einfach, aber sie sterben einfach nicht aus.

Es erscheint absurd, dass dieselbe Schwachstelle noch immer in einer beträchtlichen Anzahl von Anwendungssicherheitsscans auftritt. Wir kennen den Mechanismus und wissen, wie man ihn verhindert. Wie ist so etwas möglich? Tatsächlich gibt es bei unserer Softwaresicherheit noch viel Raum für Verbesserungen.

Der Beracode-Bericht zur Softwaresicherheit – basierend auf 400.000 Anwendungsscans im Jahr 2017 – enthüllte eine alarmierende Statistik. Nur 30 % der Anwendungen erfüllten die OWASP Top 10-Richtlinien. Dies ist ein seit fünf Jahren bestehendes Problem, und fast ein Drittel der neu gescannten Anwendungen verwendete SQL-Injection.Dies ist ein Beweis für das Ausmaß des Problems. Wir lernen offenbar nicht aus unseren Fehlern, und CISOs scheinen Schwierigkeiten zu haben, ausreichend Sicherheitspersonal zu finden. In der Regel ist ein Verhältnis von 1:100 zwischen Anwendungssicherheitsspezialisten und Entwicklern unzureichend.

Warum wird Software-Sicherheit in lebenserhaltenden Geräten eingesetzt?

Es ist allgemein bekannt, dass es an Sicherheitsexperten mangelt, aber es ist auch offensichtlich, dass Entwickler Probleme nicht beheben, wenn sie auftreten, und dass es keine Einrichtungen gibt, um Schwachstellen von vornherein zu vermeiden. Derselbe Bericht von Veracode hat ergeben, dass von allen Entwicklungsschwachstellen nur für 14,4 % Abhilfemaßnahmen dokumentiert sind. Das bedeutet, dass die meisten Schwachstellen ohne Abhilfemaßnahmen für die Entwicklung eingereicht wurden.Weniger als ein Drittel der Schwachstellen wurde innerhalb der ersten 90 Tage geschlossen, während 42 % der Schwachstellen nicht innerhalb der Entwicklungsphase geschlossen wurden.

Ich spreche regelmäßig mit Sicherheitsexperten, CISOs und CEOs und habe dabei festgestellt, dass viele Unternehmen (abgesehen von den als Fehlalarme bezeichneten Katastrophen) mit der Anzahl der entdeckten, nicht behebbaren Schwachstellen unzufrieden sind, sodass sie die Scans komplett einstellen und auf das Beste hoffen.

Warum verursachen Anwendungssicherheitsexperten solche Situationen?

Das ist richtig. Die AppSec-Verantwortlichen sind sich der Probleme im Code sehr bewusst. Letztendlich ist dies eine ihrer Kernkompetenzen, die sie zu einer äußerst wertvollen Ressource für das Team macht. Allerdings werden sie oft durch verschiedene Faktoren behindert.

Beispielsweise findet der AppSec-Manager ein Problem und fragt den Entwickler: „Können Sie den Code korrigieren?“ Die Antwort auf diese wichtige Frage variiert je nach Organisation, aber im Allgemeinen haben Entwickler aufgrund der strengen Anforderungen an die Bereitstellung von Funktionen keine Zeit, um das Problem zu beheben, und verfügen auch nicht über die geeigneten Tools, um dabei zu helfen. Die AppSec-Experten selbst können zwar Schwachstellen identifizieren, verfügen jedoch in vielen Fällen nicht über die erforderlichen Fähigkeiten oder Zugriffsrechte, um diese sofort zu beheben.

また、すべての問題には、解決策を見つけて実装し、テストするというプロセスがあることも認識しておく必要があります。コードに見つかったごくわずかな問題であっても、必要なリソースは言うまでもなく、修正にかかる時間は計り知れません。Software weist über 700 Schwachstellen auf, die ein einzelner Mensch unmöglich alle abwehren kann. Aus diesem Grund halten sich die meisten Unternehmen strikt an die OWASP Top 10. Währenddessen entwickeln Entwickler weiterhin Funktionen und integrieren damit auch weiterhin Schwachstellen in den von ihnen geschriebenen Code.

Was ist die Lösung?

Die einfache Tatsache ist, dass Entwicklern keine Tools und Schulungen zur Verfügung gestellt werden, um sicheres Codieren erfolgreich umzusetzen. Es gibt keine Vorschriften, die Unternehmen dazu verpflichten, Entwicklern ausreichende Sicherheitskenntnisse zu vermitteln. Außerdem ist es eine traurige Tatsache, dass die meisten Universitäten und Praktika Junior-Entwickler nicht darauf vorbereiten, sicher zu codieren.

Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.

Entwickler müssen Zeit in Schulungen investieren, um sicheres Programmieren zu lernen. In der heutigen Welt, in der die Softwareentwicklung rasant voranschreitet und es an talentierten Entwicklern und Sicherheitsexperten mangelt, scheint dies jedoch nie Priorität zu haben. Es ist an der Zeit, das Gespräch zu ändern.

Aktuelle Schlagzeilen vom Weltwirtschaftsforum: „Ohne Sicherheit gibt es keine digitale Wirtschaft“, lautet die Botschaft, und in den begleitenden Inhalten wird betont, dass Sicherheit den Kern jeder Strategie zur digitalen Transformation bilden muss. „Sicherheit schützt Unternehmen und ermöglicht ihnen, Innovationen voranzutreiben und neue Produkte und Dienstleistungen zu entwickeln. Sicherheit hat nicht nur eine defensive Funktion, sondern verschafft Unternehmen auch einen strategischen Wachstumsvorteil.“

Durch die Verbesserung der Fähigkeiten und Ergebnisse im Bereich sicheres Codieren können Organisationen einen starken Cyber-Schutz erhalten und besseren, schnelleren Code erstellen. Entwickler müssen keine Sicherheitsexperten sein, aberaber um an vorderster Front gegen Cyberangriffe zu kämpfen, benötigen sie aktive und praktische Befugnisse. Entwickler können die nächsten Helden in Sachen Sicherheit und Innovation werden. Sie sind äußerst intelligente Menschen, kreative Problemlöser und in der Regel sehr daran interessiert, ihre Fähigkeiten zu verbessern. Nutzen Sie ihre Stärken mit einer geeigneten Fachausbildung und setzen Sie sich für höhere Standards in der Softwaresicherheit ein. Lesen Sie das Whitepaper, um mehr zu erfahren.

Wenn jemand ein Flugzeug fliegen möchte, muss er vor dem Flug einen sehr strengen Prozess durchlaufen, der Training, praktische Erfahrung, Gesundheitsuntersuchungen, Sicherheitskenntnisse und Prüfungen umfasst. Niemand würde sich vorstellen, ohne solche sorgfältigen Vorbereitungen und die Überprüfung der Fähigkeiten in die Luft geschickt zu werden, doch beim Programmieren ist dies an der Tagesordnung.

In der Popkultur gibt es zahlreiche Darstellungen von bösartigen KI-Systemen, Robotern und Elektrogeräten, die ihre menschlichen Besitzer angreifen. Diese Geschichten sind geprägt von Science-Fiction und Fantasie, abermit der zunehmenden Verbreitung von IoT und vernetzten Geräten in Privathaushalten sollten auch Gespräche über Cybersicherheit und Sicherheit an Bedeutung gewinnen. Software ist überall um uns herum und wir vergessen oft, wie sehr wir uns auf Codezeilen verlassen, um all die raffinierten Dinge zu tun, die Innovation und Komfort bringen. Wie bei webbasierter Software, APIs und mobilen Geräten kann auch in eingebetteten Systemen anfälliger Code von Angreifern ausgenutzt werden, sobald sie ihn entdecken.

Die Wahrscheinlichkeit, dass eine Armee von Mikrowellen die Menschheit versklavt, ist gering (obwohl ich mir wegen Teslabots ein wenig Sorgen mache), aber es besteht weiterhin die Möglichkeit, dass Cyberangriffe zu böswilligen Cyberereignissen führen. Einige unserer Autos, Flugzeuge und medizinischen Geräte sind für die Ausführung wichtiger Aufgaben auf komplexe eingebettete Systemcodes angewiesen, und die Möglichkeit, dass diese Objekte kompromittiert werden, ist nicht nur besorgniserregend, sondern kann auch lebensbedrohlich sein.

Wie bei anderen Arten von Software, die auf dem Markt erhältlich sind, kommen Entwickler zu Beginn der Entwicklungsphase mit dem Code in Berührung. Und wie bei allen anderen Arten von Software kann auch dieser Code zu einer Brutstätte für heimtückische und weit verbreitete Schwachstellen werden, die möglicherweise nicht entdeckt werden, bevor das Produkt veröffentlicht wird.

Entwickler sind keine Sicherheitsexperten, daher sollte kein Unternehmen erwarten, dass sie diese Rolle übernehmen. Entwickler können jedoch weitaus leistungsfähigere Werkzeuge erwerben, um mit den für sie relevanten Arten von Bedrohungen umzugehen. Da sich die technischen Anforderungen ständig weiterentwickeln, werden eingebettete Systeme (die in der Regel in C oder C++ geschrieben sind) immer häufiger eingesetzt, sodass eine fachliche Sicherheitsschulung für Entwickler zu den Tools in dieser Umgebung unerlässlich ist.

Explodierender Airfryer, bösartiges Fahrzeug... Ist das eine Ente, die da sitzt?

Es gibt jedoch einige Standards und Vorschriften für die sichere Entwicklung, die unsere Sicherheit gewährleisten sollen. Um dies zu erreichen, müssen wir genauere und sinnvollere Fortschritte in Bezug auf alle Arten von Softwaresicherheit erzielen. Es mag absurd erscheinen, sich mit den Problemen zu befassen, die durch das Hacken eines Airfryers verursacht werden könnten, aber genau das ist passiert. Ähnlich verhält es sich mit der Sicherheitslücke, die zu einer Fernsteuerung des Fahrzeugs führen kann, in Form eines Remote-Code-Execution-Angriffs (der es dem Angreifer ermöglicht, die Temperatur auf ein gefährliches Niveau zu erhöhen).

Insbesondere Fahrzeuge sind besonders komplex und mit mehreren eingebetteten Systemen ausgestattet, die jeweils alle fein abgestimmten Funktionen von automatischen Scheibenwischern bis hin zu Motor- und Bremsfunktionen verarbeiten. Vernetzte Fahrzeuge, die mit einer ständig wachsenden Anzahl von Kommunikationstechnologien wie Wi-Fi, Bluetooth und GPS verknüpft sind, stellen eine komplexe digitale Infrastruktur dar, die mehreren Angriffsvektoren ausgesetzt ist. Und Bis 2023 werden weltweit voraussichtlich 76,3 Millionen vernetzte Fahrzeuge auf den Straßen unterwegs sein. Dies ist eine solide Grundlage für die Schaffung echter Sicherheit.

MISRA ist eine führende Organisation, die Richtlinien zur Förderung der Sicherheit, Portabilität und Zuverlässigkeit von Code in eingebetteten Systemen entwickelt und sich aktiv für die Bekämpfung von Bedrohungen für eingebettete Systeme einsetzt. Diese Richtlinien sind der Leitstern für alle Unternehmen, die eingebettete Systemprojekte durchführen.

Um jedoch Code zu erstellen und auszuführen, der diesem Goldstandard entspricht, sind nicht nur Sicherheitsbewusstsein, sondern auch eingebettete Systemingenieure erforderlich, die Vertrauen in ihre Tools haben.

Warum ist die Verbesserung der Sicherheitskompetenzen für eingebettete Systeme so konkret?

Die Programmiersprachen C und C++ sind nach heutigen Maßstäben zwar veraltet, werden aber nach wie vor häufig verwendet. Embedded C/C++ bildet den Kern der Code-Basis von eingebetteten Systemen und spielt als Teil der Welt der vernetzten Geräte eine wichtige Rolle im modernen Leben.

Diese Sprachen haben ziemlich alte Wurzeln und zeigen ähnliche Schwachstellen in Bezug auf allgemeine Probleme wie Injektionsfehler und Pufferüberläufe. Um jedoch Sicherheitslücken in eingebetteten Systemen wirklich zu reduzieren, müssen Entwickler tatsächlich Code verwenden, der ihre Arbeitsumgebung nachahmt.Allgemeine C-Schulungen im Rahmen der allgemeinen Sicherheitspraxis sind nicht so wirkungsvoll und einprägsam wie der zusätzliche Zeit- und Arbeitsaufwand, der für die Arbeit im eingebetteten C-Kontext erforderlich ist.

現代の車両には数十から100を超える組み込みシステムが組み込まれているため、開発者がIDEで何を探すべきか、どのように修正すべきかについての正確なトレーニングを受けることが不可欠です。
‍

Es liegt in der Verantwortung aller, eingebettete Systeme vom ersten Stock an zu schützen.

In vielen Organisationen hat derzeit die Entwicklungsgeschwindigkeit Vorrang vor der Sicherheit, zumindest was die Verantwortung der Entwickler betrifft. Die Fähigkeit, sicheren Code zu erstellen, wird selten geschätzt, während die schnelle Entwicklung hervorragender Funktionen als Goldstandard gilt. Die Nachfrage nach Software steigt stetig, aber diese Kultur ist der Grund dafür, dass wir den Kampf gegen Schwachstellen und die daraus resultierenden Cyberangriffe verlieren.

Auch wenn Entwickler keine Schulungen erhalten haben, ist dies nicht ihre Schuld. Vielmehr muss jemand aus dem AppSec-Team diese Lücke schließen, indem er der gesamten Entwickler-Community geeignete und leicht zugängliche (und natürlich bewertbare) Weiterbildungsprogramme empfiehlt. In der Anfangsphase eines Softwareentwicklungsprojekts muss Sicherheit oberste Priorität haben, und alle Beteiligten, insbesondere die Entwickler, müssen die notwendigen Mittel erhalten, um ihre Aufgaben erfüllen zu können.

Sicherheitsprobleme in eingebetteten Systemen hautnah erleben

バッファオーバーフロー、インジェクションの欠陥、ビジネスロジックのバグはすべて、組み込みシステム開発における一般的な落とし穴です。1 台の車両やデバイスに搭載されたマイクロコントローラの迷路の奥深くに埋もれてしまうと、セキュリティの観点から見ると大惨事につながるおそれがあります。

Buffer Overflows treten besonders häufig auf. Wenn Sie mehr darüber erfahren möchten, wie der zuvor beschriebene Air Fryer gefährdet war (Remote Code Execution), lesen Sie bitte den folgenden Bericht zu CVE-2020-28592.

それでは、実際の組み込み C/C++ コードで、バッファオーバーフローの脆弱性を実際に体験してみましょう。このチャレンジをプレイして、この厄介なバグの原因となっている貧弱なコーディングパターンを見つけ、特定し、修正できるかどうかを確認してください。
‍

どうだった？訪問 www.securecodewarrior.com 組み込みシステムのセキュリティに関する正確で効果的なトレーニングを行います。

この記事は最初に公開されました DevOps.com. Aktualisiert und korrigiert.

「ブロックチェーン」、「ビッグデータ」、「デジタルディスラプション」と同様に、「DevOps」という用語は、現在大規模組織のIT部門で使われているもう1つの流行語です。

Viele Unternehmen erkennen (zu Recht) die Notwendigkeit eines Softwareentwicklungslebenszyklus, der eng mit den Geschäftszielen verknüpft ist und präzisere Prozesse ermöglicht, die klarere Arbeitsabläufe und eine bessere Zusammenarbeit zwischen Entwicklungs- und Betriebsteams ermöglichen. DevOps ist im Wesentlichen eine „agile“ Entwicklung, die alle Beteiligten weiterbringt und auf die Anforderungen des modernen Geschäftslebens vorbereitet, das von ständiger Innovation und schneller Umsetzung geprägt ist.Für Sicherheitsexperten ist dies eine großartige Initiative. Da Sicherheit viel früher in den Prozess integriert werden kann, lassen sich die Kosten für die Fehlerbehebung senken und mögliche Katastrophen in der Zukunft vermeiden.

Das Problem ist, dass es nur sehr wenige Unternehmen gibt, die DevOps wirklich erfolgreich implementieren. Ohne angemessene Unterstützung, Schulung und Verständnis im gesamten Unternehmen kann es schnell zu einem Neuanfang kommen. Wie Sie wissen, handelt es sich hierbei um eines der Projekte, bei denen „Krieg natürlich“ ist.

Was ist also das Problem? Das ist eine interessante Frage. Es gibt mehrere Ansätze für DevOps, von denen ich glaube, dass sie zu einer wesentlich reibungsloseren Umstellung beitragen. Ein effektives Programm besteht nicht nur aus ein paar auffälligen neuen Tools, Titeln und Teambesprechungen. Es ist nicht immer einfach, aber wenn man sich die Zeit nimmt, fehlgeschlagene Strategien zu korrigieren (oder sie von Anfang an richtig umzusetzen), wird man langfristig viel weniger Probleme haben. Und letztendlich wird dies zu einer höheren Qualität und Sicherheit der Software führen.

Lassen Sie uns das einmal analysieren:

Bitte lassen Sie die Schnüre der „Agile“-Schürze los.

組織はアジャイルかDevOpsのどちらかを選び、どちらかの道を切り開き、決して振り返らないようにしなければならないという誤解があります。

重要なのは、開発プロセスは、両方を1つにまとめて検討し、実装するときに最もうまく機能することです。DevOps はアジャイル開発の再発明ではありません 。むしろ、アジャイル開発の延長です。プロセスに期待すると、車輪が外れてしまう傾向があります。 まったく同じアジャイル 、 あるいはまったく違うアジャイルから 。

Agile unterstützt das Prinzip funktionsübergreifender Teams, indem es Designer, Tester und Entwickler von Anfang an zusammenbringt und eine offene Kommunikation während des gesamten Projekts gewährleistet. Das Ziel besteht darin, isolierte Bereitstellungen zu vermeiden und Doppelarbeit zu reduzieren – beides Vorteile des DevOps-Prozesses.DevOps geht jedoch noch einen Schritt weiter und bietet robuste End-to-End-Fähigkeiten, deren oberstes Ziel es ist, Kunden vollständige und funktionsfähige Software zu liefern, indem Systeme, Sicherheit und Betrieb miteinander kombiniert werden.

Angesichts der unvermeidlichen Herausforderung, zu einem DevOps-zentrierten Prozess überzugehen, könnte das Risiko einer isolierten Entwicklung erneut zunehmen. In vielen Fällen arbeiten die ursprünglichen agilen Teams zusammen, ohne dass jemand genau weiß, wie die zusätzlichen Sicherheits- und Betriebsaspekte integriert werden sollen, was zu tun ist und was das übergeordnete Ziel ist, während diese Aspekte noch in die Maschinen integriert werden.

DevOps funktioniert nicht ohne klar definierte Ziele, abteilungsübergreifendes Onboarding und direkte Kommunikation mit allen Beteiligten. Es gibt zwar eine Anpassungsphase, die ein umsichtiges Änderungsmanagement erfordert, aber alle Beteiligten auf die Vorteile der DevOps-Funktionen einzuschwören, ist nur die halbe Miete.

DevOps legt nun auch einen Schwerpunkt auf bewährte Sicherheitsverfahren als Teil des Prozesses, erklärt die einzelnen Schritte auf verständliche Weise und schließt damit die Lücke zwischen dem Sicherheitsteam und allen anderen (was sehr zu begrüßen ist). Wie bereits erwähnt, ist es noch ein langer Weg, bis Entwickler von Anfang an sicher programmieren können, aber die erfolgreiche Umsetzung der DevOps-Methodik bildet eine hervorragende Grundlage für den Aufbau von Sicherheitskompetenzen innerhalb des Entwicklungsteams.

Automatisierung ist nicht alles (und auch nicht unbedingt die sicherste Lösung).

Ein weiteres Merkmal der DevOps-Methodik ist die weitgehende Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) bilden die Grundlage dieses Konzepts und sind, wie Sie sich vorstellen können, stark von Tools abhängig.

Tools sind großartig, wirklich großartig. Sie ermöglichen eine relativ nahtlose Verwaltung der einzelnen Elemente – Code-Repository, Tests, Wartung und Speicherung – und sorgen so für eine beispiellose Geschwindigkeit im Softwarebereitstellungsprozess.

Es ist jedoch zweifellos noch nicht Realität, dass Roboter uns eines Tages alle unsere Arbeitsplätze wegnehmen und uns einsperren könnten. Eine starke Abhängigkeit von Tools und Automatisierung erhöht das Fehlerpotenzial erheblich. Nicht alles wird durch Scans und Tests erkannt, und manchmal bleibt der Code ungeprüft, was zu erheblichen Problemen bei der Qualität (und natürlich auch bei der Sicherheit) . Ein einziger Hintertürzugang reicht Angreifern aus, um Daten zu stehlen. Wenn man den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle außer Acht lässt, kann dies katastrophale Folgen haben.

「ハッピーミディアム」とは、人々のバランスをとることです そして ツール。ツールは、信頼できるチームがプロジェクトの目標を達成するためのアシスタントの役割を果たすべきです。次のことを行う必要があります。

• Nehmen Sie sich ausreichend Zeit, um sich mit der ausgewählten DevOps-Toolkette vertraut zu machen.
• 効果的なコラボレーション（およびツールがそれをどのようにサポートできるか）に焦点を当てる
• Wir schließen alle Lücken im Prozess, unabhängig davon, ob diese auf Fähigkeiten/Kenntnissen oder auf Tools beruhen.

Kurz gesagt, es reicht nicht aus, sich nur auf „Tool-Up“ zu verlassen und auf das beste Ergebnis zu hoffen.

DevOps ist kein Modewort, sondern eine Kultur. Ist Ihr Unternehmen auf Wachstumskurs?

変更管理は最良の時期でも難しいものです。未知への恐れは、最も優秀なチームメンバーでさえもスキルを磨き、視野を広げることを妨げることがあります。

Es reicht nicht aus, einfach zu sagen „Lasst uns DevOps einführen” und die Mitarbeiter des Betriebsteams an andere Schreibtische zu setzen, um den Prozess wie durch Zauberei zum Erfolg zu führen. Viele werden verwirrt sein, und langjährige Teammitglieder werden unzufrieden sein. Es ist unerlässlich, Erwartungen zu kommunizieren, und es ist wichtig, „Schritte nach vorne zu machen”. DevOps ist sowohl eine Entwicklungsmethodik als auch eine kulturelle Bewegung. Das Team sollte eine abteilungsübergreifende und kooperative Denkweise verfolgen.

Was macht eine hervorragende DevOps-Kultur aus?

• Nicht nur Führungskräfte, sondern auch Einzelpersonen erhalten die Befugnis, ihr Fachwissen in den Prozess einzubringen.
• Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
• Jeder Einzelne ist für das übergeordnete Ziel verantwortlich, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
• Alle haben das gleiche Verständnis von der Definition von DevOps im Geschäftsleben, der Roadmap und den Methoden/Inhalten/Gründen für die Rollen der einzelnen Personen.

Ich habe seit vielen Jahren betont, wie wichtig es ist, eine positive Sicherheitskultur im Entwicklungsteam aufzubauen, und DevOps bildet da keine Ausnahme.

Um Best Practices im Bereich Sicherheit umzusetzen, sicherzustellen, dass die Anzahl der entdeckten Schwachstellen sinkt, und das Team für die Bedeutung des Datenschutzes zu sensibilisieren, sind geeignete Tools, Kenntnisse und Unterstützung unerlässlich. Bei DevOps muss eine kulturelle Grundlage geschaffen werden, um positive Veränderungen zu bewirken. Das bedeutet, dass alle Beteiligten ihre Rolle, ihren Wert, ihre Erwartungen, die Ziele des Gesamtprojekts und die einzelnen Prozessschritte verstehen müssen.

Haben Sie das gemeistert? Großartig. Dann ändern Sie Ihre Strategie, stärken Sie die Sicherheit weiter und machen Sie DevSecOps zum ultimativen Plan für Software-Exzellenz.

Langweilig, langweilig, langweilig! Das ist eine der Antworten, die Entwickler oft geben, wenn es um Secure-Code-Schulungen geht. Wir bei Secure Code Warrior sind der Meinung, dass es einen besseren Weg geben muss. Deshalb haben wir in Zusammenarbeit mit Evans Data Corp. eine Primärstudie durchgeführt, um die Einstellung von Entwicklern zu sicherem Codieren, sicheren Codierungspraktiken und Sicherheitsmaßnahmen zu untersuchen (Whitepaper herunterladen). Hier).

Der baldige Übergang von der Reaktion zur Prävention: Veränderungen in der Anwendungssicherheit. Als wir Entwickler nach den größten Problemen beim aktuellen Training für sicheres Programmieren fragten, war die Antwort eindeutig.

Entwickler enttäuschende Schulungen

40 % der befragten Entwickler hatten den Eindruck, dass sicheres Programmieren in einem Vakuum gelehrt wird. Weitere 40 % empfanden die Schulungen als zu theoretisch, nicht arbeitsrelevant und als „praxisfern“ unzureichend. 30 % gaben an, dass ihnen das Training für die Sprachen und Frameworks, mit denen sie täglich arbeiten, fehlt.Dies ist ein ernstes Problem, da die derzeitigen Schulungen zum sicheren Programmieren keinen Bezug zum Kontext haben und den Entwicklern vermitteln, dass sie keinen sinnvollen Bezug zu ihrer täglichen Arbeit haben.

Für viele Entwickler besteht die größte Herausforderung darin, während der endlosen Hands-off-Aktivitäten wach zu bleiben. Diese Aktivitäten sind weder effektiv noch legen sie Wert auf Sicherheit.

Wenn Entwickler in einer isolierten Umgebung trainieren, können sie keine kognitive Verbindung zwischen dem Labor und der realen Welt herstellen.

Drei Dinge, die Entwickler von einer Schulung zum Thema sicheres Programmieren erwarten:

1. Die überwiegende Mehrheit der Entwickler gibt an, dass sie sich praxisorientiertere Schulungen wünschen, die besser auf ihre täglichen Aufgaben zugeschnitten sind.
2. 65 % der Entwickler geben an, dass mehr Schulungen erforderlich sind, um sprachspezifische Schwachstellen und die OWASP Top 10zu behandeln.
3. 75 % der befragten Entwickler wünschen sich systematische praktische Schulungen.

Training zur Motivation von Entwicklern

In Bezug auf OJT (praktische Ausbildung) verfügen Entwickler über ein gewisses Maß an Erfahrung und vorhandenes Wissen. Dies zeigt, dass ein „gerüstbasiertes“ Lernen erforderlich ist. Dabei handelt es sich um eine Ausbildung, die auf dem bereits vorhandenen Wissen der Entwickler aufbaut, also um eine gerüstbasierte Ausbildung. Die gerüstbasierte Ausbildung belebt und verbessert die bisherigen Erfahrungen und vermittelt gleichzeitig nach und nach neue Fähigkeiten. Daher ist sie das optimale Mittel für die praktische Ausbildung.

Vermittlung von sich festigenden Fähigkeiten

Was die Sicherheitsschulungen für Entwickler angeht, so ist bekannt, dass Entwickler praxisorientierte Lernmethoden gegenüber mühsamen theoretischen statischen Lernmethoden bevorzugen. In diesem Sinne ist es wichtig, dass sie in einem relevanten und situationsbezogenen Umfeld lernen, wie man sicher programmiert. Als Vorreiter für Veränderungen im Bereich Secure Coding bietet Secure Code Warrior praxisorientierte Schulungen zu relevanten Programmiersprachen und Frameworks, die sich mit den Herausforderungen befassen, denen Entwickler in der realen Welt begegnen.Die Lerninhalte umfassen mehr als 5.500 Aufgaben und Missionen zu über 147 verschiedenen Arten von Schwachstellen, darunter die wichtigsten OWASP Top 10, OWASP Mobile Top 10, OWASP API Security Top 10 und CWE/SANS Top 25.

Wenn Sie die potenziellen Auswirkungen auf Ihr Team und die Fähigkeit, sicheren Code schneller bereitzustellen, überprüfen möchten, Demo buchen jetzt.

大、。デジタルバーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナーナー大家、イルアDevOps 親和和和物大和和物番付録ジャニニセブンキラー。この世は、サニーとサモナーザザザザプンチャチャプサン、ティシャレニニニササササカノザザザン。、しかし、それまで来なかったかぎりぎりぎりぎりぎりや（そして年、いのちばしろっくり）、マフィナシダチダイ。

2008 KRWODELYAMさん、そちらっくり、んなそりゃ。1:100 到到十分しろよ。専有の「2008」

Stephen Allor, Direktor von Secure Code Warrior (Amerika), Luss Wolfeshinali von Capital OneLwec, DevOpssWalfewecwalisionali, DevOpssWorfewebalisionali, DevOpssWarrierwinalin und Capital One Warrior's Warrior(Amerika) Stephen Allor und Capital One Worfewecwinali, Stephelwwwecyi, Capital One Warrior's System (Amerika) und Capital One Worfewperinaly, Stephen Allor

さようならしら。

• Techerの「ブラックコー」の芝生会
• Es war vor 10 Jahren und heute.
• せつの「rekox」appsec×ex x、および etreぜぜぜぜきめきりぜぜぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんぜんめん
• Taisei Taisei, Bazitakasakasakasaku. Biba Aster, Biba und Convenience Store, Biba Beek.
• 大成の為為為成成成成成成為為為為為為為生 (およびみみそくれいつ)
• 2 Nächte, 8 Stunden, Rad, Rad, Rad, Rad, Rad, wie neu
• プレチキントーナダマジンとめめと、ブタキニエコーダ/金金金金金金金金とずれ
• Zunahme von Schwachstellen in Software und deren Ursachen
• 、
• Auch beim Atlantik-Pferderennen und beim neuen Sake gibt es viel zu tun.
• Es ist seltsam geworden, aber es tut mir leid, es tut mir leid, „Mikkuri“ und „Midakke“.
• キャピタル・ワンのラス・ウルフさんごっくしょんが、4億円のフィフィダダダダダダダダダダダダダダダダダダダダダダダダダダダダダダダダそして、かえって、、金魚座で学び、ちっこうごめんなさい。
• 無、品保持、
• inセンブルは、新品同様、めちゃくちゃめも、
• Vortrag

ヘビナというサドで、シャドウ、SideaSc DainDaNeDi Déh2KeparとShaging Déhda.hdigKe/inda.hdigKeで成り立つ。

An Orten wie Capital One, DurfstonJoquitoquiturfuriy, „exedaKitaJerquid“

Die Zunahme und Raffinesse von Cyberangriffen hat zu Veränderungen in allen Sektoren und Branchen weltweit geführt. Alle versuchen, sich „nach links zu verschieben“ und so schnell wie möglich Sicherheit in alle Prozesse und Verfahren zu integrieren. Diese Situation fördert auch völlig neue Entwicklungen, die auf eine Stärkung der Cyberabwehr abzielen. Sicherheit ist in die Struktur selbst integriert, beispielsweisein die Erstellung neuer Software und Anwendungen wie DevSecOps.

Viele dieser Veränderungen betreffen die Entwickler-Community. Da sie für die Erstellung, Entwicklung und Programmierung neuer Software und Anwendungen verantwortlich sind, erscheint es sinnvoll, von ihnen sicherere Programmiermethoden zu verlangen. Schließlich kann eine Verschiebung nach links nur bei der erstmaligen Erstellung einer neuen Anwendung erfolgen.

Wie sieht es jedoch mit dem Verantwortungsbewusstsein der Entwickler-Community aus? Bislang wurden Entwickler ausschließlich nach ihrer Programmiergeschwindigkeit bewertet. Wie stehen sie nun zu ihrer neuen Rolle als Sicherheitsbeauftragte? Und haben sie das Gefühl, dass die Unternehmensleitung diese Bemühungen durch hochwertige Schulungen, angemessene Vergütung und eine angemessene Anerkennung für die Übernahme dieser wichtigen neuen Verantwortung unterstützt?

Im zweiten Jahr haben wir in Zusammenarbeit mit Evans Data Corp. eine umfassende Umfrage unter der weltweiten Entwickler-Community durchgeführt, um deren Kenntnisse, Einstellungen und Verhaltensweisen in Bezug auf sichere Codierungspraktiken sowie deren Auswirkungen und Relevanz für den Softwareentwicklungslebenszyklus (SDLC) zu untersuchen. Die Ergebnisse waren in vielerlei Hinsicht sehr überraschend.

Der aktuelle Stand der entwicklergesteuerten Sicherheitsuntersuchungen im Jahr 2022

Die Umfrage „Secure Code Warrior: Aktueller Stand der entwicklergesteuerten Sicherheit“ wurde im Dezember 2021 von Evans Data Corp durchgeführt.1.200 aktive Softwareentwickler aus dem asiatisch-pazifischen Raum, Europa und Nordamerika wurden zu Themen wie Software-Codierung, Sicherheitsbewusstsein, Schulungen, Support, Motivation und anderen Fragen befragt. Die Umfrage wurde in englischer Sprache durchgeführt und bei Bedarf übersetzt, um eine genaue globale Perspektive zu erhalten. Zu den Befragten gehörten nicht nur Entwickler, die neue Anwendungen erstellen, sondern auch Manager aus der Entwickler-Community.

Einige erstaunliche Entdeckungen

Ein detailliertes Whitepaper (Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit) und ein Bericht („Der aktuelle Stand der entwicklergesteuerten Sicherheit“, 2022), die alle Aspekte der Umfrage untersuchen, werden am Montag, dem 11. April, veröffentlicht.Dieses Whitepaper enthält eine Analyse der Ergebnisse und Bedenken der Community in Bezug auf sichere Codierungspraktiken sowie Empfehlungen für Unternehmen, wie Entwicklungsteams die Softwaresicherheit verbessern können.

Einige dieser Herausforderungen werfen Fragen auf, die nicht nur für diejenigen in unserer Organisation gelten, die mit Entwicklern zu tun haben, sondern auch für diejenigen in der Entwickler-Community. Das galt sicherlich auch für uns.

Beispielsweise nannten nur 14 % der Befragten die Anwendungssicherheit als ihre oberste Priorität für heute. Stattdessen stehen weiterhin traditionellere Kennzahlen wie die Priorisierung der Anwendungsleistung und -funktionen im Mittelpunkt des Interesses.

Die Priorität der Sicherheit war sehr gering, sodass 67 % der befragten Entwickler angaben, bekannte Schwachstellen und Exploits routinemäßig in ihrem Code zu belassen. Die Gründe dafür waren strenge Fristen, die Priorisierung von Funktionen gegenüber Sicherheit oder einfach das Fehlen der erforderlichen Schulungen und Kenntnisse zur Behebung von Sicherheitsproblemen.

In vielen Fällen geben Entwickler an, dass ihr Unternehmen keine Komponenten für sicheren Code definiert hat und keine angemessenen Schulungen oder Unterstützung anbietet, um diese Situation zu ändern.

Trotz einiger negativer Umfrageergebnisse war jedoch auch ein Wandel in der Einstellung erkennbar. Die Mehrheit der Entwickler (66 %) ging davon aus, dass Sicherheit in den nächsten 12 bis 18 Monaten an Bedeutung gewinnen würde. Andererseits zeigten 82 % der befragten Personalverantwortlichen Interesse daran, Entwickler mit Sicherheitskenntnissen einzustellen, anstatt solche ohne.

Die Ergebnisse der Umfrage zeigen deutlich, dass die Entwickler-Community und die Organisationen, mit denen sie zusammenarbeiten, vor großen Veränderungen stehen. Glücklicherweise nehmen jedoch sowohl die kurzfristigen als auch die langfristigen Zukunftspläne rasch Gestalt an.

Freuen Sie sich auf ein Whitepaper und einen Bericht mit detaillierten Untersuchungsergebnissen zu aktuellen Herausforderungen im Bereich sicherer Programmiermethoden und zu Möglichkeiten, wie Unternehmen die Sicherheitskompetenzen ihrer Entwickler und letztlich die Softwaresicherheit verbessern können.

チェックしてください Secure Code Warrior Auf der Blog-Seite können Sie Ihr Verständnis für Cybersicherheit und die zunehmend gefährliche Bedrohungslage vertiefen und erfahren, wie Sie mit innovativen Technologien und Schulungen Ihre Organisation und Ihre Kunden besser schützen können.

‍

In den letzten Jahren wurden viele Opfer gebracht, um die Zeit bis zur Markteinführung zu verkürzen, darunter Netzwerksicherheit, mehrere Terabyte an vertraulichen Kundendaten und der wertvolle Ruf der Marke. Aufgrund des starken Drucks, die Veröffentlichung neuer Funktionen zu beschleunigen, konzentrieren sich komplexe, verteilte Teams auf eine schnelle Entwicklung, ohne sich der möglichen Schwachstellen und enormen Risiken bewusst zu sein. Mehr denn je sind neue Arbeitsweisen gefragt. Daher hatSecure Code Warrior 2020 in Zusammenarbeit mit Evans Data Corp. eine Umfrage* unter Entwicklern und ihren Managern zu sicherem Codieren, sicheren Codierungspraktiken und Sicherheitsmaßnahmen durchgeführt (Whitepaper herunterladen). Hier).

Leistungsindikatoren für den Projekterfolg – Wo ist Sicherheit angebracht?

Entwickler und Manager halten es für wichtig, über sicheren Code zu verfügen, aber nicht so wichtig wie andere Faktoren. Auf die Frage nach den wichtigsten Prioritäten im Softwareentwicklungsprozess antworteten Entwickler und Manager wie folgt:

• 76 % der nominierten Anwendungen
• 62 % haben Merkmale und Funktionen ausgewählt.
• そして、50％強の安全なコードが選択されました
  

Im Vergleich zu anderen Leistungsindikatoren, die den Erfolg des Projekts zeigen, rangiert sicheres Codieren derzeit auf Platz drei.

Derzeit beurteilen Entwickler den Erfolg eines Projekts anhand von Leistungsindikatoren, die den Code erst nach Abschluss des Projekts bewerten – was wohl kaum überraschen dürfte.

しかし、これが将来どのように変化するかについて尋ねると、状況はひっくり返ります。組織がセキュリティを成功の指標として捉える方法は変化しています。安全なコーディングは最優先事項になりつつあります。

Auf die Frage nach den wichtigsten Prioritäten für die Messung des Erfolgs zukünftiger Projekte gaben 79 % der Befragten an, dass sicheres Codieren an Bedeutung gewinnen werde. Überraschend ist, dass eine beträchtliche Anzahl der Befragten angab, dass die Bedeutung der Sicherheit in Zukunft höher sein werde als die aller anderen Leistungsindikatoren. Das Bewusstsein für sicheres Codieren wächst,und die Tendenz zum „Shifting Left” nimmt zu. Aufgrund seiner Natur bedeutet die Umsetzung von sicherem Programmieren, dass Sicherheit bereits in einer sehr frühen Phase des SDLC berücksichtigt wird. Das heißt, Sicherheit wird nicht aufgeschoben, sondern von Anfang an aktiv in die Software integriert.

Da CIOs bestrebt sind, die Agilität ihrer Organisationen zu steigern, werden sichere Codierungskompetenzen zu einem wichtigen Innovationsinstrument werden. CIOs und CISOs müssen sorgfältig abwägen, ob Entwicklungsteams eher an vorderster Front der Risiken oder eher an vorderster Front der Verteidigung stehen.

この洞察は、組織が開発者をどのようにトレーニングするかに重大な影響を及ぼします。チームは最近特定された脆弱性について学び、それぞれの言語やフレームワークで学ぶ必要があります。つまり、日常業務の中で、コード内の既知の脆弱性を発見し、特定し、修正する方法を理解する必要があります。

Secure Code Warrior verfolgt einen menschenorientierten Ansatz, der Entwickler aktiv dazu ermutigt, sichere Codierungsfähigkeiten zu erlernen und aufzubauen, und fungiert dabei als Treiber des Wandels im Bereich der sicheren Codierung. Wenn Sie wissen möchten, wie sich dies auf die Fähigkeit Ihres Teams auswirkt, sichereren Code schneller zu veröffentlichen, ohne die Sicherheit zu beeinträchtigen, buchen Sie jetzt eine Demo.

‍

Übergang von Reaktion zu Prävention: Die Landschaft der Anwendungssicherheit verändert sich. Secure Code Warrior und Evans Data Corporation 2020