Neue NIST-Richtlinien: Warum maßgeschneiderte Schulungen für die Entwicklung sicherer Software unerlässlich sind
Am 11. Juni 2019 veröffentlichte das National Institute of Standards and Technology (NIST) ein aktualisiertes Whitepaper mit detaillierten Informationen. Einige Aktionspläne zur Verringerung von Software-Schwachstellen und Cyber-Risiken. Unter dem Titel „Minderung von Software-Schwachstellenrisiken durch die Einführung eines Sicherheits-Softwareentwicklungs-Frameworks (SSDF)“ bietet das NIST Unternehmen konkrete Leitlinien, mit denen sie nicht nur kostspielige Datenverletzungen vermeiden können, sondern auch unangenehme Folgen.
Hinweis: SSDF geht nicht davon aus, dass alle Organisationen dieselben Software-Sicherheitsziele verfolgen, und legt auch keine genauen Mechanismen zur Erreichung dieser Ziele fest. Das Hauptziel besteht darin, bewährte Sicherheitsverfahren zu implementieren. Die Autorin Donna Dodson erklärte: „Jeder Sicherheitsentwickler möchte, dass alle anwendbaren Praktiken eingehalten werden, aber es ist zu erwarten, dass der Grad der Umsetzung jeder einzelnen Praxis von den Sicherheitsannahmen des Entwicklers abhängt. Diese Praktiken bieten den Implementierern Flexibilität, aber es ist auch klar, dass sie nicht zu viel Raum für Interpretationen lassen sollten.“
Natürlich war es besonders interessant, dass konkrete Inhalte zur Software-Sicherheitsschulung für Entwickler enthalten waren. Ich wusste schon lange, dass Entwickler eine angemessene Schulung benötigen, um die Organisation von Beginn des Softwareentwicklungsprozesses an zu schützen... Aber angemessen, genau genommen? Es gibt viele unterschiedliche Meinungen dazu. Aber ich denke, dass wir endlich die Grenzen erweitern und damit zu sehr positiven Ergebnissen kommen werden.
Es gibt Sicherheitsschulungen... und es gibt effektive Sicherheitsschulungen.
Der Autor hat ausführlich über die Notwendigkeit gesprochen, Software-Sicherheitsschulungen effektiver zu gestalten und an die Bedürfnisse der Entwickler anzupassen. Auch heute noch sind viele Schulungen in vielen Unternehmen bestenfalls „stereotype Übungen“.Möglicherweise werden mehrere Stunden für Videotrainings aufgewendet oder wertvolle Zeit für den Einsatz von Tools für den Präsenzunterricht geopfert. Die Tatsache, dass alle zwei Tage große Datenverstöße durch Angreifer erfolgen, die bekannte (und in der Regel leicht zu behebende) Schwachstellen ausnutzen, ist ein Beweis dafür, dass Softwaresicherheitsschulungen nicht so effektiv sind, wie sie sein müssten. Und das vielleicht Wichtigste ist, dass es kaum Materialien gibt, mit denen überprüft werden kann, ob die Schulungen effektiv waren. Wären Schwachstellen schneller behoben worden? Nimmt die Anzahl der Schwachstellen im Code ab? Haben die Teilnehmer die Schulungen tatsächlich abgeschlossen? Oder haben sie einfach auf „Weiter“ geklickt, um die Schulung abzuschließen?
Entwickler sind vielbeschäftigte Menschen, die hart daran arbeiten, strenge Fristen einzuhalten. Sicherheit ist in vielen Fällen mit Unannehmlichkeiten verbunden, und nur selten werden im Rahmen der Ausbildung Kenntnisse vermittelt, mit denen sich Cyberrisiken erfolgreich mindern lassen. Wenn Mitglieder des AppSec-Teams auf Mängel in der Arbeit hinweisen, denken die Entwickler in der Regel an das Wort „Sicherheit“, was zu einer etwas unterkühlten Beziehung führt, die nicht richtig funktioniert. Es entsteht ein Szenario, in dem gesagt wird: „Das Baby ist hässlich, also geh und repariere es.“
Was sagt uns das? Dass Entwickler sich nicht ausreichend um Sicherheit kümmern, ist ein seit Jahrzehnten bestehendes Warnsignal. Entwickler sind nicht bereit, Verantwortung zu übernehmen, und suchen auch nicht nach den Tools, die sie benötigen, um funktionale Software zu entwickeln, die den besten Sicherheitspraktiken entspricht.
Entwickler sind intelligent, kreativ und lieben es, Probleme zu lösen. Es ist unwahrscheinlich, dass das endlose Anschauen von Videos über Sicherheitslücken das Interesse der Entwickler weckt oder ihre Motivation aufrechterhält.Als SANS-Dozent habe ich schnell erkannt, dass praktische Übungen, bei denen die Lernenden ihr Wissen testen und ihre analytischen Fähigkeiten anhand von Fallbeispielen aus der Praxis auf der Grundlage ihres Vorwissens unter Beweis stellen können, die beste Form der Ausbildung sind. Gamification und freundschaftlicher Wettbewerb sind ebenfalls wirkungsvolle Instrumente, die allen helfen, neue Konzepte zu erlernen, und gleichzeitig in der Anwendung nützlich und praktisch bleiben.
Die NIST-Richtlinien besagen Folgendes: „Bieten Sie allen Mitarbeitern, die eine Rolle mit Verantwortung für die Sicherheitsentwicklung innehaben, rollenspezifische Schulungen an. Überprüfen Sie die rollenspezifischen Schulungen regelmäßig und aktualisieren Sie sie bei Bedarf.“ Weiter heißt es: „Definieren Sie die Rollen und Verantwortlichkeiten von Cybersicherheitsmitarbeitern, Sicherheitsbeauftragten, Führungskräften, Softwareentwicklern, Produktverantwortlichen und anderen Personen, die mit dem SDLC zu tun haben.“
Diese Aussage ist zwar nicht konkret auf die Art der Schulung bezogen, hilft aber dennoch dabei, Organisationen zu verändern und bewährte Sicherheitspraktiken zu berücksichtigen. Damit wird die Verantwortung für die Suche nach effektiven und konkreteren Schulungslösungen wieder an das Unternehmen zurückgegeben, in der Hoffnung, dass Entwickler so die richtigen Werkzeuge und Kenntnisse erhalten, die sie für ihren Erfolg benötigen.
Kultur: Das verlorene Glied.
Selbst wenn Zeit und Ressourcen in die Schulung von Entwicklern und anderen wichtigen Mitarbeitern investiert werden, um Schwachstellen in der Organisation zu verhindern und Sicherheitsrisiken zu minimieren, können diese Bemühungen oft ins Leere laufen, wenn die Sicherheitskultur der Organisation grundlegend beschädigt ist.
Wenn man Einzelpersonen effektiv schult, Ziele festlegt und Erwartungen klar definiert, wird es viel einfacher, die eigene Position in der Sicherheitsumgebung zu verstehen und angemessene Verantwortung zu übernehmen. Insbesondere Entwicklern werden von Anfang an die Tools und Kenntnisse zur Verfügung gestellt, die sie benötigen, um sichere Codes zu schreiben. Diese Methode lässt sich jedoch am besten in einer positiven Sicherheitsumgebung umsetzen, in der es wenig Doppelarbeit, Verantwortungsabwälzung und isolierte Projektarbeit gibt.
Die Sicherheit der gesamten Organisation muss durch Unterstützung und Zusammenarbeit bei der Bereitstellung hochwertiger und sicherer Software oberste Priorität haben. Das bedeutet, dass unterhaltsame und interaktive Schulungen angeboten werden sollten, die reale Code-Schwachstellen nutzen, und dass mit Zustimmung der gesamten Organisation ein ausreichendes Budget bereitgestellt werden sollte, um diesen Trend fortzusetzen. In einer sich ständig weiterentwickelnden digitalen Umgebung müssen Schulungen ebenso kontinuierlich sein wie ihre Vermittlung. Wenn Sie gehört haben, dass „einmalige“ oder „einmalige“ Compliance-Schulungen angemessen oder effektiv waren, ist dies ein Irrglaube.
Dieses neue NIST-Framework enthält zwar keine konkreten Anforderungen zur Schaffung einer positiven Sicherheitskultur, doch diese sind für die erfolgreiche Einhaltung der Richtlinien unerlässlich. Es ist jedoch zu beachten, dass Organisationen „Richtlinien definieren müssen, in denen die Sicherheitsanforderungen festgelegt sind, die die Software der Organisation erfüllen muss, einschließlich der von Entwicklern zu befolgenden Sicherheitscodierungspraktiken“.
Die oben genannten Punkte sind für die Erweiterung und Verbesserung der Sicherheitstechnologien innerhalb des Teams von großer Bedeutung. Bei der Bewertung der eigenen Richtlinien und der aktuellen AppSec-Umgebung kann es hilfreich sein, die folgenden Punkte zu berücksichtigen.
- Sind die Richtlinien und Erwartungen zur Softwaresicherheit klar definiert?
- Ist allen klar, welche Rolle sie beim Erreichen der Ziele spielen?
- Wird die Ausbildung regelmäßig durchgeführt und bewertet?
- Wissen Entwickler, wie wichtig es ist, allgemeine Sicherheitslücken zu beheben, bevor sie auftreten?
Wie bereits erwähnt, hängt der letzte Teil hauptsächlich von der Organisation und der von ihr gewählten Ausbildung ab. Diese muss relevant sein, regelmäßig stattfinden und eine hohe Beteiligung aufweisen. Suchen Sie nach Lösungen, die Sie in Ihrer täglichen Arbeit anwenden können, und bauen Sie sich situationsgerecht Wissen auf.
Was sollen wir jetzt tun?
Es kann ziemlich schwierig sein, diese neuen Richtlinien im Detail zu prüfen. Es erfordert einen erheblichen Aufwand, die für die meisten Unternehmen erforderliche umfassende Sicherheitssoftware auf die sicherste Weise zu erstellen, zu überprüfen und zu implementieren. Dies beschränkt sich nicht nur auf Schulungen. Es gibt Richtlinien, die bei der Verwendung von Software von Drittanbietern zu beachten sind (Verwendung von Komponenten mit bekannten Schwachstellen, die immer noch vorhanden sind. OWASP Top 10 schließlich), Vorschläge zu Validierung, Penetrationstests und Codeüberprüfung, Richtlinien zur Aufbewahrung von Sicherheitsaufzeichnungen, geeignete Toolchains und alles andere. Praktische Einblicke in das Gesamtbild finden Sie in Dr. Gary McGraws Buch. Das BSIMM-Modellwird in allen NIST-Dokumenten referenziert.
Wenn es jedoch gelingt, Entwicklern die richtigen Tools und Kenntnisse zur Verfügung zu stellen, um von Anfang an sichere Software zu entwickeln, kann der schnellste Erfolg erzielt werden. Die wiederholte Vermeidung typischer Schwachstellen, die in der späteren Phase des SDLC auftreten, ist aus geschäftlicher Sicht (und insgesamt schneller) kostengünstiger. Nutzen Sie ihre Stärken und bieten Sie Anreize, sich für die Sicherheit des Unternehmens zu engagieren.Das kann wirklich Spaß machen, und sie können zu Helden werden, die böswillige Personen abwehren und Daten schützen.
Referenzen:
Das National Institute of Standards and Technology (NIST) hat ein aktualisiertes Whitepaper veröffentlicht, in dem mehrere Aktionspläne zur Verringerung von Software-Schwachstellen und Cyberrisiken detailliert beschrieben werden.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Am 11. Juni 2019 veröffentlichte das National Institute of Standards and Technology (NIST) ein aktualisiertes Whitepaper mit detaillierten Informationen. Einige Aktionspläne zur Verringerung von Software-Schwachstellen und Cyber-Risiken. Unter dem Titel „Minderung von Software-Schwachstellenrisiken durch die Einführung eines Sicherheits-Softwareentwicklungs-Frameworks (SSDF)“ bietet das NIST Unternehmen konkrete Leitlinien, mit denen sie nicht nur kostspielige Datenverletzungen vermeiden können, sondern auch unangenehme Folgen.
Hinweis: SSDF geht nicht davon aus, dass alle Organisationen dieselben Software-Sicherheitsziele verfolgen, und legt auch keine genauen Mechanismen zur Erreichung dieser Ziele fest. Das Hauptziel besteht darin, bewährte Sicherheitsverfahren zu implementieren. Die Autorin Donna Dodson erklärte: „Jeder Sicherheitsentwickler möchte, dass alle anwendbaren Praktiken eingehalten werden, aber es ist zu erwarten, dass der Grad der Umsetzung jeder einzelnen Praxis von den Sicherheitsannahmen des Entwicklers abhängt. Diese Praktiken bieten den Implementierern Flexibilität, aber es ist auch klar, dass sie nicht zu viel Raum für Interpretationen lassen sollten.“
Natürlich war es besonders interessant, dass konkrete Inhalte zur Software-Sicherheitsschulung für Entwickler enthalten waren. Ich wusste schon lange, dass Entwickler eine angemessene Schulung benötigen, um die Organisation von Beginn des Softwareentwicklungsprozesses an zu schützen... Aber angemessen, genau genommen? Es gibt viele unterschiedliche Meinungen dazu. Aber ich denke, dass wir endlich die Grenzen erweitern und damit zu sehr positiven Ergebnissen kommen werden.
Es gibt Sicherheitsschulungen... und es gibt effektive Sicherheitsschulungen.
Der Autor hat ausführlich über die Notwendigkeit gesprochen, Software-Sicherheitsschulungen effektiver zu gestalten und an die Bedürfnisse der Entwickler anzupassen. Auch heute noch sind viele Schulungen in vielen Unternehmen bestenfalls „stereotype Übungen“.Möglicherweise werden mehrere Stunden für Videotrainings aufgewendet oder wertvolle Zeit für den Einsatz von Tools für den Präsenzunterricht geopfert. Die Tatsache, dass alle zwei Tage große Datenverstöße durch Angreifer erfolgen, die bekannte (und in der Regel leicht zu behebende) Schwachstellen ausnutzen, ist ein Beweis dafür, dass Softwaresicherheitsschulungen nicht so effektiv sind, wie sie sein müssten. Und das vielleicht Wichtigste ist, dass es kaum Materialien gibt, mit denen überprüft werden kann, ob die Schulungen effektiv waren. Wären Schwachstellen schneller behoben worden? Nimmt die Anzahl der Schwachstellen im Code ab? Haben die Teilnehmer die Schulungen tatsächlich abgeschlossen? Oder haben sie einfach auf „Weiter“ geklickt, um die Schulung abzuschließen?
Entwickler sind vielbeschäftigte Menschen, die hart daran arbeiten, strenge Fristen einzuhalten. Sicherheit ist in vielen Fällen mit Unannehmlichkeiten verbunden, und nur selten werden im Rahmen der Ausbildung Kenntnisse vermittelt, mit denen sich Cyberrisiken erfolgreich mindern lassen. Wenn Mitglieder des AppSec-Teams auf Mängel in der Arbeit hinweisen, denken die Entwickler in der Regel an das Wort „Sicherheit“, was zu einer etwas unterkühlten Beziehung führt, die nicht richtig funktioniert. Es entsteht ein Szenario, in dem gesagt wird: „Das Baby ist hässlich, also geh und repariere es.“
Was sagt uns das? Dass Entwickler sich nicht ausreichend um Sicherheit kümmern, ist ein seit Jahrzehnten bestehendes Warnsignal. Entwickler sind nicht bereit, Verantwortung zu übernehmen, und suchen auch nicht nach den Tools, die sie benötigen, um funktionale Software zu entwickeln, die den besten Sicherheitspraktiken entspricht.
Entwickler sind intelligent, kreativ und lieben es, Probleme zu lösen. Es ist unwahrscheinlich, dass das endlose Anschauen von Videos über Sicherheitslücken das Interesse der Entwickler weckt oder ihre Motivation aufrechterhält.Als SANS-Dozent habe ich schnell erkannt, dass praktische Übungen, bei denen die Lernenden ihr Wissen testen und ihre analytischen Fähigkeiten anhand von Fallbeispielen aus der Praxis auf der Grundlage ihres Vorwissens unter Beweis stellen können, die beste Form der Ausbildung sind. Gamification und freundschaftlicher Wettbewerb sind ebenfalls wirkungsvolle Instrumente, die allen helfen, neue Konzepte zu erlernen, und gleichzeitig in der Anwendung nützlich und praktisch bleiben.
Die NIST-Richtlinien besagen Folgendes: „Bieten Sie allen Mitarbeitern, die eine Rolle mit Verantwortung für die Sicherheitsentwicklung innehaben, rollenspezifische Schulungen an. Überprüfen Sie die rollenspezifischen Schulungen regelmäßig und aktualisieren Sie sie bei Bedarf.“ Weiter heißt es: „Definieren Sie die Rollen und Verantwortlichkeiten von Cybersicherheitsmitarbeitern, Sicherheitsbeauftragten, Führungskräften, Softwareentwicklern, Produktverantwortlichen und anderen Personen, die mit dem SDLC zu tun haben.“
Diese Aussage ist zwar nicht konkret auf die Art der Schulung bezogen, hilft aber dennoch dabei, Organisationen zu verändern und bewährte Sicherheitspraktiken zu berücksichtigen. Damit wird die Verantwortung für die Suche nach effektiven und konkreteren Schulungslösungen wieder an das Unternehmen zurückgegeben, in der Hoffnung, dass Entwickler so die richtigen Werkzeuge und Kenntnisse erhalten, die sie für ihren Erfolg benötigen.
Kultur: Das verlorene Glied.
Selbst wenn Zeit und Ressourcen in die Schulung von Entwicklern und anderen wichtigen Mitarbeitern investiert werden, um Schwachstellen in der Organisation zu verhindern und Sicherheitsrisiken zu minimieren, können diese Bemühungen oft ins Leere laufen, wenn die Sicherheitskultur der Organisation grundlegend beschädigt ist.
Wenn man Einzelpersonen effektiv schult, Ziele festlegt und Erwartungen klar definiert, wird es viel einfacher, die eigene Position in der Sicherheitsumgebung zu verstehen und angemessene Verantwortung zu übernehmen. Insbesondere Entwicklern werden von Anfang an die Tools und Kenntnisse zur Verfügung gestellt, die sie benötigen, um sichere Codes zu schreiben. Diese Methode lässt sich jedoch am besten in einer positiven Sicherheitsumgebung umsetzen, in der es wenig Doppelarbeit, Verantwortungsabwälzung und isolierte Projektarbeit gibt.
Die Sicherheit der gesamten Organisation muss durch Unterstützung und Zusammenarbeit bei der Bereitstellung hochwertiger und sicherer Software oberste Priorität haben. Das bedeutet, dass unterhaltsame und interaktive Schulungen angeboten werden sollten, die reale Code-Schwachstellen nutzen, und dass mit Zustimmung der gesamten Organisation ein ausreichendes Budget bereitgestellt werden sollte, um diesen Trend fortzusetzen. In einer sich ständig weiterentwickelnden digitalen Umgebung müssen Schulungen ebenso kontinuierlich sein wie ihre Vermittlung. Wenn Sie gehört haben, dass „einmalige“ oder „einmalige“ Compliance-Schulungen angemessen oder effektiv waren, ist dies ein Irrglaube.
Dieses neue NIST-Framework enthält zwar keine konkreten Anforderungen zur Schaffung einer positiven Sicherheitskultur, doch diese sind für die erfolgreiche Einhaltung der Richtlinien unerlässlich. Es ist jedoch zu beachten, dass Organisationen „Richtlinien definieren müssen, in denen die Sicherheitsanforderungen festgelegt sind, die die Software der Organisation erfüllen muss, einschließlich der von Entwicklern zu befolgenden Sicherheitscodierungspraktiken“.
Die oben genannten Punkte sind für die Erweiterung und Verbesserung der Sicherheitstechnologien innerhalb des Teams von großer Bedeutung. Bei der Bewertung der eigenen Richtlinien und der aktuellen AppSec-Umgebung kann es hilfreich sein, die folgenden Punkte zu berücksichtigen.
- Sind die Richtlinien und Erwartungen zur Softwaresicherheit klar definiert?
- Ist allen klar, welche Rolle sie beim Erreichen der Ziele spielen?
- Wird die Ausbildung regelmäßig durchgeführt und bewertet?
- Wissen Entwickler, wie wichtig es ist, allgemeine Sicherheitslücken zu beheben, bevor sie auftreten?
Wie bereits erwähnt, hängt der letzte Teil hauptsächlich von der Organisation und der von ihr gewählten Ausbildung ab. Diese muss relevant sein, regelmäßig stattfinden und eine hohe Beteiligung aufweisen. Suchen Sie nach Lösungen, die Sie in Ihrer täglichen Arbeit anwenden können, und bauen Sie sich situationsgerecht Wissen auf.
Was sollen wir jetzt tun?
Es kann ziemlich schwierig sein, diese neuen Richtlinien im Detail zu prüfen. Es erfordert einen erheblichen Aufwand, die für die meisten Unternehmen erforderliche umfassende Sicherheitssoftware auf die sicherste Weise zu erstellen, zu überprüfen und zu implementieren. Dies beschränkt sich nicht nur auf Schulungen. Es gibt Richtlinien, die bei der Verwendung von Software von Drittanbietern zu beachten sind (Verwendung von Komponenten mit bekannten Schwachstellen, die immer noch vorhanden sind. OWASP Top 10 schließlich), Vorschläge zu Validierung, Penetrationstests und Codeüberprüfung, Richtlinien zur Aufbewahrung von Sicherheitsaufzeichnungen, geeignete Toolchains und alles andere. Praktische Einblicke in das Gesamtbild finden Sie in Dr. Gary McGraws Buch. Das BSIMM-Modellwird in allen NIST-Dokumenten referenziert.
Wenn es jedoch gelingt, Entwicklern die richtigen Tools und Kenntnisse zur Verfügung zu stellen, um von Anfang an sichere Software zu entwickeln, kann der schnellste Erfolg erzielt werden. Die wiederholte Vermeidung typischer Schwachstellen, die in der späteren Phase des SDLC auftreten, ist aus geschäftlicher Sicht (und insgesamt schneller) kostengünstiger. Nutzen Sie ihre Stärken und bieten Sie Anreize, sich für die Sicherheit des Unternehmens zu engagieren.Das kann wirklich Spaß machen, und sie können zu Helden werden, die böswillige Personen abwehren und Daten schützen.
Referenzen:
Am 11. Juni 2019 veröffentlichte das National Institute of Standards and Technology (NIST) ein aktualisiertes Whitepaper mit detaillierten Informationen. Einige Aktionspläne zur Verringerung von Software-Schwachstellen und Cyber-Risiken. Unter dem Titel „Minderung von Software-Schwachstellenrisiken durch die Einführung eines Sicherheits-Softwareentwicklungs-Frameworks (SSDF)“ bietet das NIST Unternehmen konkrete Leitlinien, mit denen sie nicht nur kostspielige Datenverletzungen vermeiden können, sondern auch unangenehme Folgen.
Hinweis: SSDF geht nicht davon aus, dass alle Organisationen dieselben Software-Sicherheitsziele verfolgen, und legt auch keine genauen Mechanismen zur Erreichung dieser Ziele fest. Das Hauptziel besteht darin, bewährte Sicherheitsverfahren zu implementieren. Die Autorin Donna Dodson erklärte: „Jeder Sicherheitsentwickler möchte, dass alle anwendbaren Praktiken eingehalten werden, aber es ist zu erwarten, dass der Grad der Umsetzung jeder einzelnen Praxis von den Sicherheitsannahmen des Entwicklers abhängt. Diese Praktiken bieten den Implementierern Flexibilität, aber es ist auch klar, dass sie nicht zu viel Raum für Interpretationen lassen sollten.“
Natürlich war es besonders interessant, dass konkrete Inhalte zur Software-Sicherheitsschulung für Entwickler enthalten waren. Ich wusste schon lange, dass Entwickler eine angemessene Schulung benötigen, um die Organisation von Beginn des Softwareentwicklungsprozesses an zu schützen... Aber angemessen, genau genommen? Es gibt viele unterschiedliche Meinungen dazu. Aber ich denke, dass wir endlich die Grenzen erweitern und damit zu sehr positiven Ergebnissen kommen werden.
Es gibt Sicherheitsschulungen... und es gibt effektive Sicherheitsschulungen.
Der Autor hat ausführlich über die Notwendigkeit gesprochen, Software-Sicherheitsschulungen effektiver zu gestalten und an die Bedürfnisse der Entwickler anzupassen. Auch heute noch sind viele Schulungen in vielen Unternehmen bestenfalls „stereotype Übungen“.Möglicherweise werden mehrere Stunden für Videotrainings aufgewendet oder wertvolle Zeit für den Einsatz von Tools für den Präsenzunterricht geopfert. Die Tatsache, dass alle zwei Tage große Datenverstöße durch Angreifer erfolgen, die bekannte (und in der Regel leicht zu behebende) Schwachstellen ausnutzen, ist ein Beweis dafür, dass Softwaresicherheitsschulungen nicht so effektiv sind, wie sie sein müssten. Und das vielleicht Wichtigste ist, dass es kaum Materialien gibt, mit denen überprüft werden kann, ob die Schulungen effektiv waren. Wären Schwachstellen schneller behoben worden? Nimmt die Anzahl der Schwachstellen im Code ab? Haben die Teilnehmer die Schulungen tatsächlich abgeschlossen? Oder haben sie einfach auf „Weiter“ geklickt, um die Schulung abzuschließen?
Entwickler sind vielbeschäftigte Menschen, die hart daran arbeiten, strenge Fristen einzuhalten. Sicherheit ist in vielen Fällen mit Unannehmlichkeiten verbunden, und nur selten werden im Rahmen der Ausbildung Kenntnisse vermittelt, mit denen sich Cyberrisiken erfolgreich mindern lassen. Wenn Mitglieder des AppSec-Teams auf Mängel in der Arbeit hinweisen, denken die Entwickler in der Regel an das Wort „Sicherheit“, was zu einer etwas unterkühlten Beziehung führt, die nicht richtig funktioniert. Es entsteht ein Szenario, in dem gesagt wird: „Das Baby ist hässlich, also geh und repariere es.“
Was sagt uns das? Dass Entwickler sich nicht ausreichend um Sicherheit kümmern, ist ein seit Jahrzehnten bestehendes Warnsignal. Entwickler sind nicht bereit, Verantwortung zu übernehmen, und suchen auch nicht nach den Tools, die sie benötigen, um funktionale Software zu entwickeln, die den besten Sicherheitspraktiken entspricht.
Entwickler sind intelligent, kreativ und lieben es, Probleme zu lösen. Es ist unwahrscheinlich, dass das endlose Anschauen von Videos über Sicherheitslücken das Interesse der Entwickler weckt oder ihre Motivation aufrechterhält.Als SANS-Dozent habe ich schnell erkannt, dass praktische Übungen, bei denen die Lernenden ihr Wissen testen und ihre analytischen Fähigkeiten anhand von Fallbeispielen aus der Praxis auf der Grundlage ihres Vorwissens unter Beweis stellen können, die beste Form der Ausbildung sind. Gamification und freundschaftlicher Wettbewerb sind ebenfalls wirkungsvolle Instrumente, die allen helfen, neue Konzepte zu erlernen, und gleichzeitig in der Anwendung nützlich und praktisch bleiben.
Die NIST-Richtlinien besagen Folgendes: „Bieten Sie allen Mitarbeitern, die eine Rolle mit Verantwortung für die Sicherheitsentwicklung innehaben, rollenspezifische Schulungen an. Überprüfen Sie die rollenspezifischen Schulungen regelmäßig und aktualisieren Sie sie bei Bedarf.“ Weiter heißt es: „Definieren Sie die Rollen und Verantwortlichkeiten von Cybersicherheitsmitarbeitern, Sicherheitsbeauftragten, Führungskräften, Softwareentwicklern, Produktverantwortlichen und anderen Personen, die mit dem SDLC zu tun haben.“
Diese Aussage ist zwar nicht konkret auf die Art der Schulung bezogen, hilft aber dennoch dabei, Organisationen zu verändern und bewährte Sicherheitspraktiken zu berücksichtigen. Damit wird die Verantwortung für die Suche nach effektiven und konkreteren Schulungslösungen wieder an das Unternehmen zurückgegeben, in der Hoffnung, dass Entwickler so die richtigen Werkzeuge und Kenntnisse erhalten, die sie für ihren Erfolg benötigen.
Kultur: Das verlorene Glied.
Selbst wenn Zeit und Ressourcen in die Schulung von Entwicklern und anderen wichtigen Mitarbeitern investiert werden, um Schwachstellen in der Organisation zu verhindern und Sicherheitsrisiken zu minimieren, können diese Bemühungen oft ins Leere laufen, wenn die Sicherheitskultur der Organisation grundlegend beschädigt ist.
Wenn man Einzelpersonen effektiv schult, Ziele festlegt und Erwartungen klar definiert, wird es viel einfacher, die eigene Position in der Sicherheitsumgebung zu verstehen und angemessene Verantwortung zu übernehmen. Insbesondere Entwicklern werden von Anfang an die Tools und Kenntnisse zur Verfügung gestellt, die sie benötigen, um sichere Codes zu schreiben. Diese Methode lässt sich jedoch am besten in einer positiven Sicherheitsumgebung umsetzen, in der es wenig Doppelarbeit, Verantwortungsabwälzung und isolierte Projektarbeit gibt.
Die Sicherheit der gesamten Organisation muss durch Unterstützung und Zusammenarbeit bei der Bereitstellung hochwertiger und sicherer Software oberste Priorität haben. Das bedeutet, dass unterhaltsame und interaktive Schulungen angeboten werden sollten, die reale Code-Schwachstellen nutzen, und dass mit Zustimmung der gesamten Organisation ein ausreichendes Budget bereitgestellt werden sollte, um diesen Trend fortzusetzen. In einer sich ständig weiterentwickelnden digitalen Umgebung müssen Schulungen ebenso kontinuierlich sein wie ihre Vermittlung. Wenn Sie gehört haben, dass „einmalige“ oder „einmalige“ Compliance-Schulungen angemessen oder effektiv waren, ist dies ein Irrglaube.
Dieses neue NIST-Framework enthält zwar keine konkreten Anforderungen zur Schaffung einer positiven Sicherheitskultur, doch diese sind für die erfolgreiche Einhaltung der Richtlinien unerlässlich. Es ist jedoch zu beachten, dass Organisationen „Richtlinien definieren müssen, in denen die Sicherheitsanforderungen festgelegt sind, die die Software der Organisation erfüllen muss, einschließlich der von Entwicklern zu befolgenden Sicherheitscodierungspraktiken“.
Die oben genannten Punkte sind für die Erweiterung und Verbesserung der Sicherheitstechnologien innerhalb des Teams von großer Bedeutung. Bei der Bewertung der eigenen Richtlinien und der aktuellen AppSec-Umgebung kann es hilfreich sein, die folgenden Punkte zu berücksichtigen.
- Sind die Richtlinien und Erwartungen zur Softwaresicherheit klar definiert?
- Ist allen klar, welche Rolle sie beim Erreichen der Ziele spielen?
- Wird die Ausbildung regelmäßig durchgeführt und bewertet?
- Wissen Entwickler, wie wichtig es ist, allgemeine Sicherheitslücken zu beheben, bevor sie auftreten?
Wie bereits erwähnt, hängt der letzte Teil hauptsächlich von der Organisation und der von ihr gewählten Ausbildung ab. Diese muss relevant sein, regelmäßig stattfinden und eine hohe Beteiligung aufweisen. Suchen Sie nach Lösungen, die Sie in Ihrer täglichen Arbeit anwenden können, und bauen Sie sich situationsgerecht Wissen auf.
Was sollen wir jetzt tun?
Es kann ziemlich schwierig sein, diese neuen Richtlinien im Detail zu prüfen. Es erfordert einen erheblichen Aufwand, die für die meisten Unternehmen erforderliche umfassende Sicherheitssoftware auf die sicherste Weise zu erstellen, zu überprüfen und zu implementieren. Dies beschränkt sich nicht nur auf Schulungen. Es gibt Richtlinien, die bei der Verwendung von Software von Drittanbietern zu beachten sind (Verwendung von Komponenten mit bekannten Schwachstellen, die immer noch vorhanden sind. OWASP Top 10 schließlich), Vorschläge zu Validierung, Penetrationstests und Codeüberprüfung, Richtlinien zur Aufbewahrung von Sicherheitsaufzeichnungen, geeignete Toolchains und alles andere. Praktische Einblicke in das Gesamtbild finden Sie in Dr. Gary McGraws Buch. Das BSIMM-Modellwird in allen NIST-Dokumenten referenziert.
Wenn es jedoch gelingt, Entwicklern die richtigen Tools und Kenntnisse zur Verfügung zu stellen, um von Anfang an sichere Software zu entwickeln, kann der schnellste Erfolg erzielt werden. Die wiederholte Vermeidung typischer Schwachstellen, die in der späteren Phase des SDLC auftreten, ist aus geschäftlicher Sicht (und insgesamt schneller) kostengünstiger. Nutzen Sie ihre Stärken und bieten Sie Anreize, sich für die Sicherheit des Unternehmens zu engagieren.Das kann wirklich Spaß machen, und sie können zu Helden werden, die böswillige Personen abwehren und Daten schützen.
Referenzen:
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Am 11. Juni 2019 veröffentlichte das National Institute of Standards and Technology (NIST) ein aktualisiertes Whitepaper mit detaillierten Informationen. Einige Aktionspläne zur Verringerung von Software-Schwachstellen und Cyber-Risiken. Unter dem Titel „Minderung von Software-Schwachstellenrisiken durch die Einführung eines Sicherheits-Softwareentwicklungs-Frameworks (SSDF)“ bietet das NIST Unternehmen konkrete Leitlinien, mit denen sie nicht nur kostspielige Datenverletzungen vermeiden können, sondern auch unangenehme Folgen.
Hinweis: SSDF geht nicht davon aus, dass alle Organisationen dieselben Software-Sicherheitsziele verfolgen, und legt auch keine genauen Mechanismen zur Erreichung dieser Ziele fest. Das Hauptziel besteht darin, bewährte Sicherheitsverfahren zu implementieren. Die Autorin Donna Dodson erklärte: „Jeder Sicherheitsentwickler möchte, dass alle anwendbaren Praktiken eingehalten werden, aber es ist zu erwarten, dass der Grad der Umsetzung jeder einzelnen Praxis von den Sicherheitsannahmen des Entwicklers abhängt. Diese Praktiken bieten den Implementierern Flexibilität, aber es ist auch klar, dass sie nicht zu viel Raum für Interpretationen lassen sollten.“
Natürlich war es besonders interessant, dass konkrete Inhalte zur Software-Sicherheitsschulung für Entwickler enthalten waren. Ich wusste schon lange, dass Entwickler eine angemessene Schulung benötigen, um die Organisation von Beginn des Softwareentwicklungsprozesses an zu schützen... Aber angemessen, genau genommen? Es gibt viele unterschiedliche Meinungen dazu. Aber ich denke, dass wir endlich die Grenzen erweitern und damit zu sehr positiven Ergebnissen kommen werden.
Es gibt Sicherheitsschulungen... und es gibt effektive Sicherheitsschulungen.
Der Autor hat ausführlich über die Notwendigkeit gesprochen, Software-Sicherheitsschulungen effektiver zu gestalten und an die Bedürfnisse der Entwickler anzupassen. Auch heute noch sind viele Schulungen in vielen Unternehmen bestenfalls „stereotype Übungen“.Möglicherweise werden mehrere Stunden für Videotrainings aufgewendet oder wertvolle Zeit für den Einsatz von Tools für den Präsenzunterricht geopfert. Die Tatsache, dass alle zwei Tage große Datenverstöße durch Angreifer erfolgen, die bekannte (und in der Regel leicht zu behebende) Schwachstellen ausnutzen, ist ein Beweis dafür, dass Softwaresicherheitsschulungen nicht so effektiv sind, wie sie sein müssten. Und das vielleicht Wichtigste ist, dass es kaum Materialien gibt, mit denen überprüft werden kann, ob die Schulungen effektiv waren. Wären Schwachstellen schneller behoben worden? Nimmt die Anzahl der Schwachstellen im Code ab? Haben die Teilnehmer die Schulungen tatsächlich abgeschlossen? Oder haben sie einfach auf „Weiter“ geklickt, um die Schulung abzuschließen?
Entwickler sind vielbeschäftigte Menschen, die hart daran arbeiten, strenge Fristen einzuhalten. Sicherheit ist in vielen Fällen mit Unannehmlichkeiten verbunden, und nur selten werden im Rahmen der Ausbildung Kenntnisse vermittelt, mit denen sich Cyberrisiken erfolgreich mindern lassen. Wenn Mitglieder des AppSec-Teams auf Mängel in der Arbeit hinweisen, denken die Entwickler in der Regel an das Wort „Sicherheit“, was zu einer etwas unterkühlten Beziehung führt, die nicht richtig funktioniert. Es entsteht ein Szenario, in dem gesagt wird: „Das Baby ist hässlich, also geh und repariere es.“
Was sagt uns das? Dass Entwickler sich nicht ausreichend um Sicherheit kümmern, ist ein seit Jahrzehnten bestehendes Warnsignal. Entwickler sind nicht bereit, Verantwortung zu übernehmen, und suchen auch nicht nach den Tools, die sie benötigen, um funktionale Software zu entwickeln, die den besten Sicherheitspraktiken entspricht.
Entwickler sind intelligent, kreativ und lieben es, Probleme zu lösen. Es ist unwahrscheinlich, dass das endlose Anschauen von Videos über Sicherheitslücken das Interesse der Entwickler weckt oder ihre Motivation aufrechterhält.Als SANS-Dozent habe ich schnell erkannt, dass praktische Übungen, bei denen die Lernenden ihr Wissen testen und ihre analytischen Fähigkeiten anhand von Fallbeispielen aus der Praxis auf der Grundlage ihres Vorwissens unter Beweis stellen können, die beste Form der Ausbildung sind. Gamification und freundschaftlicher Wettbewerb sind ebenfalls wirkungsvolle Instrumente, die allen helfen, neue Konzepte zu erlernen, und gleichzeitig in der Anwendung nützlich und praktisch bleiben.
Die NIST-Richtlinien besagen Folgendes: „Bieten Sie allen Mitarbeitern, die eine Rolle mit Verantwortung für die Sicherheitsentwicklung innehaben, rollenspezifische Schulungen an. Überprüfen Sie die rollenspezifischen Schulungen regelmäßig und aktualisieren Sie sie bei Bedarf.“ Weiter heißt es: „Definieren Sie die Rollen und Verantwortlichkeiten von Cybersicherheitsmitarbeitern, Sicherheitsbeauftragten, Führungskräften, Softwareentwicklern, Produktverantwortlichen und anderen Personen, die mit dem SDLC zu tun haben.“
Diese Aussage ist zwar nicht konkret auf die Art der Schulung bezogen, hilft aber dennoch dabei, Organisationen zu verändern und bewährte Sicherheitspraktiken zu berücksichtigen. Damit wird die Verantwortung für die Suche nach effektiven und konkreteren Schulungslösungen wieder an das Unternehmen zurückgegeben, in der Hoffnung, dass Entwickler so die richtigen Werkzeuge und Kenntnisse erhalten, die sie für ihren Erfolg benötigen.
Kultur: Das verlorene Glied.
Selbst wenn Zeit und Ressourcen in die Schulung von Entwicklern und anderen wichtigen Mitarbeitern investiert werden, um Schwachstellen in der Organisation zu verhindern und Sicherheitsrisiken zu minimieren, können diese Bemühungen oft ins Leere laufen, wenn die Sicherheitskultur der Organisation grundlegend beschädigt ist.
Wenn man Einzelpersonen effektiv schult, Ziele festlegt und Erwartungen klar definiert, wird es viel einfacher, die eigene Position in der Sicherheitsumgebung zu verstehen und angemessene Verantwortung zu übernehmen. Insbesondere Entwicklern werden von Anfang an die Tools und Kenntnisse zur Verfügung gestellt, die sie benötigen, um sichere Codes zu schreiben. Diese Methode lässt sich jedoch am besten in einer positiven Sicherheitsumgebung umsetzen, in der es wenig Doppelarbeit, Verantwortungsabwälzung und isolierte Projektarbeit gibt.
Die Sicherheit der gesamten Organisation muss durch Unterstützung und Zusammenarbeit bei der Bereitstellung hochwertiger und sicherer Software oberste Priorität haben. Das bedeutet, dass unterhaltsame und interaktive Schulungen angeboten werden sollten, die reale Code-Schwachstellen nutzen, und dass mit Zustimmung der gesamten Organisation ein ausreichendes Budget bereitgestellt werden sollte, um diesen Trend fortzusetzen. In einer sich ständig weiterentwickelnden digitalen Umgebung müssen Schulungen ebenso kontinuierlich sein wie ihre Vermittlung. Wenn Sie gehört haben, dass „einmalige“ oder „einmalige“ Compliance-Schulungen angemessen oder effektiv waren, ist dies ein Irrglaube.
Dieses neue NIST-Framework enthält zwar keine konkreten Anforderungen zur Schaffung einer positiven Sicherheitskultur, doch diese sind für die erfolgreiche Einhaltung der Richtlinien unerlässlich. Es ist jedoch zu beachten, dass Organisationen „Richtlinien definieren müssen, in denen die Sicherheitsanforderungen festgelegt sind, die die Software der Organisation erfüllen muss, einschließlich der von Entwicklern zu befolgenden Sicherheitscodierungspraktiken“.
Die oben genannten Punkte sind für die Erweiterung und Verbesserung der Sicherheitstechnologien innerhalb des Teams von großer Bedeutung. Bei der Bewertung der eigenen Richtlinien und der aktuellen AppSec-Umgebung kann es hilfreich sein, die folgenden Punkte zu berücksichtigen.
- Sind die Richtlinien und Erwartungen zur Softwaresicherheit klar definiert?
- Ist allen klar, welche Rolle sie beim Erreichen der Ziele spielen?
- Wird die Ausbildung regelmäßig durchgeführt und bewertet?
- Wissen Entwickler, wie wichtig es ist, allgemeine Sicherheitslücken zu beheben, bevor sie auftreten?
Wie bereits erwähnt, hängt der letzte Teil hauptsächlich von der Organisation und der von ihr gewählten Ausbildung ab. Diese muss relevant sein, regelmäßig stattfinden und eine hohe Beteiligung aufweisen. Suchen Sie nach Lösungen, die Sie in Ihrer täglichen Arbeit anwenden können, und bauen Sie sich situationsgerecht Wissen auf.
Was sollen wir jetzt tun?
Es kann ziemlich schwierig sein, diese neuen Richtlinien im Detail zu prüfen. Es erfordert einen erheblichen Aufwand, die für die meisten Unternehmen erforderliche umfassende Sicherheitssoftware auf die sicherste Weise zu erstellen, zu überprüfen und zu implementieren. Dies beschränkt sich nicht nur auf Schulungen. Es gibt Richtlinien, die bei der Verwendung von Software von Drittanbietern zu beachten sind (Verwendung von Komponenten mit bekannten Schwachstellen, die immer noch vorhanden sind. OWASP Top 10 schließlich), Vorschläge zu Validierung, Penetrationstests und Codeüberprüfung, Richtlinien zur Aufbewahrung von Sicherheitsaufzeichnungen, geeignete Toolchains und alles andere. Praktische Einblicke in das Gesamtbild finden Sie in Dr. Gary McGraws Buch. Das BSIMM-Modellwird in allen NIST-Dokumenten referenziert.
Wenn es jedoch gelingt, Entwicklern die richtigen Tools und Kenntnisse zur Verfügung zu stellen, um von Anfang an sichere Software zu entwickeln, kann der schnellste Erfolg erzielt werden. Die wiederholte Vermeidung typischer Schwachstellen, die in der späteren Phase des SDLC auftreten, ist aus geschäftlicher Sicht (und insgesamt schneller) kostengünstiger. Nutzen Sie ihre Stärken und bieten Sie Anreize, sich für die Sicherheit des Unternehmens zu engagieren.Das kann wirklich Spaß machen, und sie können zu Helden werden, die böswillige Personen abwehren und Daten schützen.
Referenzen:
Inhaltsverzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
