Möchten Sie, dass Entwickler beim Programmieren sicherheitsbewusst vorgehen? Bieten Sie ihnen Schulungen an.
Der Softwareentwicklungslebenszyklus (SDLC) scheint völlig harmlos zu sein. Es handelt sich um einen einzigen Prozess, in dem wir Softwareentwickler alle unsere Kräfte bündeln, um etwas Magisches zu schaffen und der Gesellschaft unverzichtbare digitale Produkte zu präsentieren.
Wenn Sie jedoch schon einmal an einem Softwareentwicklungsprojekt teilgenommen haben, wissen Sie, dass es sich um ein schwieriges Projekt handelt, bei dem es Quests zu bewältigen und Drachen zu besiegen gilt. Eine Zeit lang macht es zwar Spaß, aber Burnout ist eine Tatsache. Aufgrund der Nachfrage nach Software arbeiten wir alle mit Höchstgeschwindigkeit, um das Beste aus unserer Zeit herauszuholen. Das gilt insbesondere für das Entwicklungsteam.
Stellen Sie sich nun vor, dass ihnen eine weitere Aufgabe übertragen wurde, die sie unbedingt erledigen müssen. Nämlich die Verantwortung für die Sicherheit der Projektelemente, mit denen sie in Berührung kommen. Dies könnte für einige Personen im schlimmsten Fall dazu führen, dass ihr Kartenhaus zusammenbricht. Ein realistischeres Szenario ist jedoch, dass Probleme, deren Lösung als dringlicher angesehen wird, Vorrang haben, da keine Prioritäten festgelegt wurden. Und wenn die meisten Entwickler nicht in sicherem Programmieren geschult sind (insbesondere wenn Manager der Sicherheit keine Priorität einräumen), ist es nicht verwunderlich, dass es aufgrund häufiger Datenlecks, fehlerhafter App-Veröffentlichungen und massiver Bugs zu einer ernsthaften Fluktuation unter Sicherheitsexperten kommt, die an ihre Grenzen stößt.
Entwickler brauchen AppSec-Unterstützer.
Wenn man sich das oben beschriebene Szenario ansieht, versteht man, warum Sicherheit im Codierungsprozess als „zu schwierig“ eingestuft und dem Sicherheitsteam überlassen wird. Es gibt zu viele konkurrierende Termine, die Schulungen sind unzureichend, und es gibt keinen Grund, sich um Sicherheit zu kümmern, während alle anderen Aufgaben erledigt werden müssen.Um diesen Status quo aufrechtzuerhalten, ist jedoch der Bedarf an Code zu groß. Genau hier können sich Spitzenentwickler von ihren Kollegen abheben, neue Technologien erlernen und vor allem sichereren Code erstellen.
Es ist jedoch zu beachten, dass die Verwaltung der Softwaresicherheit nicht Aufgabe der Entwickler ist. Dies bleibt weiterhin im Zuständigkeitsbereich des AppSec-Teams (in Zusammenarbeit mit sicherheitsbewussten Entwicklern können häufige Fehler wiederholt behoben und mehr Spielraum gewonnen werden). Ein gut funktionierender DevSecOps-Prozess erfordert, dass alle Teammitglieder die notwendige Unterstützung und die erforderlichen Tools erhalten, um ihre Verantwortung für die Sicherheit wahrzunehmen. Die richtige Art von Schulung ist dabei von entscheidender Bedeutung. Um die richtige Balance zwischen den richtigen Tools und Schulungen zu finden, ist die Expertise von AppSec-Spezialisten erforderlich, die eng mit den Entwicklern zusammenarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.
Destruktives Training ist eher nervig als effektiv, und Entwickler zu verärgern ist nicht sinnvoll. Eine Alternative sind IDE- oder Issue-Tracker-Integrationslösungen, die sich auf einfaches Wissen konzentrieren und den Benutzern genau dann die richtigen Informationen liefern, wenn sie diese benötigen.
Das Funktionsprinzip ist wie folgt.
Nicht „für alle Fälle“, sondern zur richtigen Zeit am richtigen Ort.
Situationsbezogene praktische Übungen sind zweifellos die effektivste Trainingsmethode, und sie werden genau dann bereitgestellt, wenn sie am besten geeignet sind. Dies wird auch als „Just-in-Time“-Training (Jit) bezeichnet und ist für Entwickler, die sichere Programmierung lernen, äußerst nützlich.
Die JIT-Schulung, die Toyotas Lean-Produktionsprinzipien einschließlich der Herkunftsorte umfasst, wurde so konzipiert, dass sie je nach Situation zum wichtigsten Zeitpunkt und nach Bedarf aktiviert wird. Hat ein Entwickler gerade etwas geschrieben, das auf unangemessene Berechtigungen hindeutet? Was wäre, wenn eine kleine Hintertür geöffnet wäre und ein Angreifer aus der Ferne Code ausführen könnte?Es wäre viel einprägsamer, wenn Entwickler bei Bedarf direkt auf das Wissen zugreifen könnten, anstatt in Confluence nach Dokumenten zu suchen oder Inhalte aus Schulungen zu googeln.
Just-in-Time ist das genaue Gegenteil von „für alle Fälle“ lernen. Letzteres ist zwar die gängigere Methode zur Wissensvermittlung, aber nicht besonders effizient. Wir müssen Entwicklern den Zugang zu Best Practices für sicheres Codieren erleichtern und ihnen die Vorteile aufzeigen, die sie im Laufe ihrer Karriere erzielen können, während sie sich weiterhin auf ihre aktuellen Hauptziele konzentrieren.
Entwickler sollten nicht gezwungen werden, sich um ihre Ausbildung zu kümmern.
Wir wissen bereits, dass die Arbeitszeiten zu lang sind. Welche Anreize sind also erforderlich, damit Entwickler in den Hörsaal eilen oder fünf Schritte durchlaufen, um durch einen Kontextwechsel Zugang zu statischer, theoriegeleiteter Ausbildung zu erhalten?
Es ist allgemein bekannt, dass die meisten Unternehmen, egal wie viele Schwachstellen sie haben, die zu Datenverletzungen führen, nicht wirklich effektiv sind. Der Datenverletzungsbericht 2020 von Verizon sagt Folgendes : 43 % der Datenverletzungen könnten auf Web-Schwachstellen zurückzuführen sein. Entwickler bekommen keine effektive Schulung. Sie erhalten weder eine Hochschulausbildung noch Maßnahmen zur Verbesserung ihrer Fähigkeiten am Arbeitsplatz. Dann gibt es noch allgemeine Schwachstellen wie SQL-Injection, Old School usw. Pfadauswertung wird nicht zu erheblichen Datenverlusten führen, und der Mangel an Cybersicherheitstechnologien wird nicht außer Kontrolle geraten.
Warum sind die Entwickler überrascht, dass die Ergebnisse nicht gut sind, obwohl sie wissen, dass sie geschult werden und sich mit Sicherheit auskennen? Eine nahtlosere, integrierte und weniger störende Schulungserfahrung, die in der tatsächlichen Arbeitsumgebung wie Jira, GitHub und IDE zugänglich ist, kann sich positiv auf Entwickler und Unternehmen auswirken. Die Branche muss nur noch einen Schritt weitergehen und das Sicherheitsbewusstsein in einer Umgebung fördern, die kein Luxus mehr ist.
Sind Sie bereit, Ihren Entwicklungs-Workflow zu schützen?
Entwickler, die sich mit Sicherheit gut auskennen, werden aufgrund ihrer Fähigkeiten und Schutzfunktionen, die sie bereits in der Phase der Codeerstellung für das Unternehmen bereitstellen können, hoch geschätzt. Sicherheit ist keine Option mehr. Dies gilt insbesondere angesichts der hohen Strafen gemäß DSGVO, der PCI-DSS-Compliance-Vorschriften, der NIST-Governance ... und der erhöhten Wahrscheinlichkeit, in eine Millionenklage wie im Fall Equifax verwickelt zu werden.
Ein integrierter Ansatz kann als Katalysator dienen, um das Interesse von Entwicklern für ein störungsarmes Lernen zu wecken. Er kann Wege für vertiefende Kurse schaffen, Sicherheitsexperten ausbilden und das allgemeine Bewusstsein für die gemeinsame Verantwortung schärfen, die für den sicheren Schutz globaler Daten erforderlich ist. Laden Sie die integrierten Tools für
herunter. Teilen Sie uns Ihre Meinung mit.
Wir wissen bereits, dass die Arbeitszeiten zu lang sind. Welche Anreize sind also erforderlich, damit Entwickler in den Hörsaal eilen oder fünf Schritte durchlaufen, um durch einen Kontextwechsel Zugang zu statischer, theoriegeleiteter Ausbildung zu erhalten?
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Der Softwareentwicklungslebenszyklus (SDLC) scheint völlig harmlos zu sein. Es handelt sich um einen einzigen Prozess, in dem wir Softwareentwickler alle unsere Kräfte bündeln, um etwas Magisches zu schaffen und der Gesellschaft unverzichtbare digitale Produkte zu präsentieren.
Wenn Sie jedoch schon einmal an einem Softwareentwicklungsprojekt teilgenommen haben, wissen Sie, dass es sich um ein schwieriges Projekt handelt, bei dem es Quests zu bewältigen und Drachen zu besiegen gilt. Eine Zeit lang macht es zwar Spaß, aber Burnout ist eine Tatsache. Aufgrund der Nachfrage nach Software arbeiten wir alle mit Höchstgeschwindigkeit, um das Beste aus unserer Zeit herauszuholen. Das gilt insbesondere für das Entwicklungsteam.
Stellen Sie sich nun vor, dass ihnen eine weitere Aufgabe übertragen wurde, die sie unbedingt erledigen müssen. Nämlich die Verantwortung für die Sicherheit der Projektelemente, mit denen sie in Berührung kommen. Dies könnte für einige Personen im schlimmsten Fall dazu führen, dass ihr Kartenhaus zusammenbricht. Ein realistischeres Szenario ist jedoch, dass Probleme, deren Lösung als dringlicher angesehen wird, Vorrang haben, da keine Prioritäten festgelegt wurden. Und wenn die meisten Entwickler nicht in sicherem Programmieren geschult sind (insbesondere wenn Manager der Sicherheit keine Priorität einräumen), ist es nicht verwunderlich, dass es aufgrund häufiger Datenlecks, fehlerhafter App-Veröffentlichungen und massiver Bugs zu einer ernsthaften Fluktuation unter Sicherheitsexperten kommt, die an ihre Grenzen stößt.
Entwickler brauchen AppSec-Unterstützer.
Wenn man sich das oben beschriebene Szenario ansieht, versteht man, warum Sicherheit im Codierungsprozess als „zu schwierig“ eingestuft und dem Sicherheitsteam überlassen wird. Es gibt zu viele konkurrierende Termine, die Schulungen sind unzureichend, und es gibt keinen Grund, sich um Sicherheit zu kümmern, während alle anderen Aufgaben erledigt werden müssen.Um diesen Status quo aufrechtzuerhalten, ist jedoch der Bedarf an Code zu groß. Genau hier können sich Spitzenentwickler von ihren Kollegen abheben, neue Technologien erlernen und vor allem sichereren Code erstellen.
Es ist jedoch zu beachten, dass die Verwaltung der Softwaresicherheit nicht Aufgabe der Entwickler ist. Dies bleibt weiterhin im Zuständigkeitsbereich des AppSec-Teams (in Zusammenarbeit mit sicherheitsbewussten Entwicklern können häufige Fehler wiederholt behoben und mehr Spielraum gewonnen werden). Ein gut funktionierender DevSecOps-Prozess erfordert, dass alle Teammitglieder die notwendige Unterstützung und die erforderlichen Tools erhalten, um ihre Verantwortung für die Sicherheit wahrzunehmen. Die richtige Art von Schulung ist dabei von entscheidender Bedeutung. Um die richtige Balance zwischen den richtigen Tools und Schulungen zu finden, ist die Expertise von AppSec-Spezialisten erforderlich, die eng mit den Entwicklern zusammenarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.
Destruktives Training ist eher nervig als effektiv, und Entwickler zu verärgern ist nicht sinnvoll. Eine Alternative sind IDE- oder Issue-Tracker-Integrationslösungen, die sich auf einfaches Wissen konzentrieren und den Benutzern genau dann die richtigen Informationen liefern, wenn sie diese benötigen.
Das Funktionsprinzip ist wie folgt.
Nicht „für alle Fälle“, sondern zur richtigen Zeit am richtigen Ort.
Situationsbezogene praktische Übungen sind zweifellos die effektivste Trainingsmethode, und sie werden genau dann bereitgestellt, wenn sie am besten geeignet sind. Dies wird auch als „Just-in-Time“-Training (Jit) bezeichnet und ist für Entwickler, die sichere Programmierung lernen, äußerst nützlich.
Die JIT-Schulung, die Toyotas Lean-Produktionsprinzipien einschließlich der Herkunftsorte umfasst, wurde so konzipiert, dass sie je nach Situation zum wichtigsten Zeitpunkt und nach Bedarf aktiviert wird. Hat ein Entwickler gerade etwas geschrieben, das auf unangemessene Berechtigungen hindeutet? Was wäre, wenn eine kleine Hintertür geöffnet wäre und ein Angreifer aus der Ferne Code ausführen könnte?Es wäre viel einprägsamer, wenn Entwickler bei Bedarf direkt auf das Wissen zugreifen könnten, anstatt in Confluence nach Dokumenten zu suchen oder Inhalte aus Schulungen zu googeln.
Just-in-Time ist das genaue Gegenteil von „für alle Fälle“ lernen. Letzteres ist zwar die gängigere Methode zur Wissensvermittlung, aber nicht besonders effizient. Wir müssen Entwicklern den Zugang zu Best Practices für sicheres Codieren erleichtern und ihnen die Vorteile aufzeigen, die sie im Laufe ihrer Karriere erzielen können, während sie sich weiterhin auf ihre aktuellen Hauptziele konzentrieren.
Entwickler sollten nicht gezwungen werden, sich um ihre Ausbildung zu kümmern.
Wir wissen bereits, dass die Arbeitszeiten zu lang sind. Welche Anreize sind also erforderlich, damit Entwickler in den Hörsaal eilen oder fünf Schritte durchlaufen, um durch einen Kontextwechsel Zugang zu statischer, theoriegeleiteter Ausbildung zu erhalten?
Es ist allgemein bekannt, dass die meisten Unternehmen, egal wie viele Schwachstellen sie haben, die zu Datenverletzungen führen, nicht wirklich effektiv sind. Der Datenverletzungsbericht 2020 von Verizon sagt Folgendes : 43 % der Datenverletzungen könnten auf Web-Schwachstellen zurückzuführen sein. Entwickler bekommen keine effektive Schulung. Sie erhalten weder eine Hochschulausbildung noch Maßnahmen zur Verbesserung ihrer Fähigkeiten am Arbeitsplatz. Dann gibt es noch allgemeine Schwachstellen wie SQL-Injection, Old School usw. Pfadauswertung wird nicht zu erheblichen Datenverlusten führen, und der Mangel an Cybersicherheitstechnologien wird nicht außer Kontrolle geraten.
Warum sind die Entwickler überrascht, dass die Ergebnisse nicht gut sind, obwohl sie wissen, dass sie geschult werden und sich mit Sicherheit auskennen? Eine nahtlosere, integrierte und weniger störende Schulungserfahrung, die in der tatsächlichen Arbeitsumgebung wie Jira, GitHub und IDE zugänglich ist, kann sich positiv auf Entwickler und Unternehmen auswirken. Die Branche muss nur noch einen Schritt weitergehen und das Sicherheitsbewusstsein in einer Umgebung fördern, die kein Luxus mehr ist.
Sind Sie bereit, Ihren Entwicklungs-Workflow zu schützen?
Entwickler, die sich mit Sicherheit gut auskennen, werden aufgrund ihrer Fähigkeiten und Schutzfunktionen, die sie bereits in der Phase der Codeerstellung für das Unternehmen bereitstellen können, hoch geschätzt. Sicherheit ist keine Option mehr. Dies gilt insbesondere angesichts der hohen Strafen gemäß DSGVO, der PCI-DSS-Compliance-Vorschriften, der NIST-Governance ... und der erhöhten Wahrscheinlichkeit, in eine Millionenklage wie im Fall Equifax verwickelt zu werden.
Ein integrierter Ansatz kann als Katalysator dienen, um das Interesse von Entwicklern für ein störungsarmes Lernen zu wecken. Er kann Wege für vertiefende Kurse schaffen, Sicherheitsexperten ausbilden und das allgemeine Bewusstsein für die gemeinsame Verantwortung schärfen, die für den sicheren Schutz globaler Daten erforderlich ist. Laden Sie die integrierten Tools für
herunter. Teilen Sie uns Ihre Meinung mit.
Der Softwareentwicklungslebenszyklus (SDLC) scheint völlig harmlos zu sein. Es handelt sich um einen einzigen Prozess, in dem wir Softwareentwickler alle unsere Kräfte bündeln, um etwas Magisches zu schaffen und der Gesellschaft unverzichtbare digitale Produkte zu präsentieren.
Wenn Sie jedoch schon einmal an einem Softwareentwicklungsprojekt teilgenommen haben, wissen Sie, dass es sich um ein schwieriges Projekt handelt, bei dem es Quests zu bewältigen und Drachen zu besiegen gilt. Eine Zeit lang macht es zwar Spaß, aber Burnout ist eine Tatsache. Aufgrund der Nachfrage nach Software arbeiten wir alle mit Höchstgeschwindigkeit, um das Beste aus unserer Zeit herauszuholen. Das gilt insbesondere für das Entwicklungsteam.
Stellen Sie sich nun vor, dass ihnen eine weitere Aufgabe übertragen wurde, die sie unbedingt erledigen müssen. Nämlich die Verantwortung für die Sicherheit der Projektelemente, mit denen sie in Berührung kommen. Dies könnte für einige Personen im schlimmsten Fall dazu führen, dass ihr Kartenhaus zusammenbricht. Ein realistischeres Szenario ist jedoch, dass Probleme, deren Lösung als dringlicher angesehen wird, Vorrang haben, da keine Prioritäten festgelegt wurden. Und wenn die meisten Entwickler nicht in sicherem Programmieren geschult sind (insbesondere wenn Manager der Sicherheit keine Priorität einräumen), ist es nicht verwunderlich, dass es aufgrund häufiger Datenlecks, fehlerhafter App-Veröffentlichungen und massiver Bugs zu einer ernsthaften Fluktuation unter Sicherheitsexperten kommt, die an ihre Grenzen stößt.
Entwickler brauchen AppSec-Unterstützer.
Wenn man sich das oben beschriebene Szenario ansieht, versteht man, warum Sicherheit im Codierungsprozess als „zu schwierig“ eingestuft und dem Sicherheitsteam überlassen wird. Es gibt zu viele konkurrierende Termine, die Schulungen sind unzureichend, und es gibt keinen Grund, sich um Sicherheit zu kümmern, während alle anderen Aufgaben erledigt werden müssen.Um diesen Status quo aufrechtzuerhalten, ist jedoch der Bedarf an Code zu groß. Genau hier können sich Spitzenentwickler von ihren Kollegen abheben, neue Technologien erlernen und vor allem sichereren Code erstellen.
Es ist jedoch zu beachten, dass die Verwaltung der Softwaresicherheit nicht Aufgabe der Entwickler ist. Dies bleibt weiterhin im Zuständigkeitsbereich des AppSec-Teams (in Zusammenarbeit mit sicherheitsbewussten Entwicklern können häufige Fehler wiederholt behoben und mehr Spielraum gewonnen werden). Ein gut funktionierender DevSecOps-Prozess erfordert, dass alle Teammitglieder die notwendige Unterstützung und die erforderlichen Tools erhalten, um ihre Verantwortung für die Sicherheit wahrzunehmen. Die richtige Art von Schulung ist dabei von entscheidender Bedeutung. Um die richtige Balance zwischen den richtigen Tools und Schulungen zu finden, ist die Expertise von AppSec-Spezialisten erforderlich, die eng mit den Entwicklern zusammenarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.
Destruktives Training ist eher nervig als effektiv, und Entwickler zu verärgern ist nicht sinnvoll. Eine Alternative sind IDE- oder Issue-Tracker-Integrationslösungen, die sich auf einfaches Wissen konzentrieren und den Benutzern genau dann die richtigen Informationen liefern, wenn sie diese benötigen.
Das Funktionsprinzip ist wie folgt.
Nicht „für alle Fälle“, sondern zur richtigen Zeit am richtigen Ort.
Situationsbezogene praktische Übungen sind zweifellos die effektivste Trainingsmethode, und sie werden genau dann bereitgestellt, wenn sie am besten geeignet sind. Dies wird auch als „Just-in-Time“-Training (Jit) bezeichnet und ist für Entwickler, die sichere Programmierung lernen, äußerst nützlich.
Die JIT-Schulung, die Toyotas Lean-Produktionsprinzipien einschließlich der Herkunftsorte umfasst, wurde so konzipiert, dass sie je nach Situation zum wichtigsten Zeitpunkt und nach Bedarf aktiviert wird. Hat ein Entwickler gerade etwas geschrieben, das auf unangemessene Berechtigungen hindeutet? Was wäre, wenn eine kleine Hintertür geöffnet wäre und ein Angreifer aus der Ferne Code ausführen könnte?Es wäre viel einprägsamer, wenn Entwickler bei Bedarf direkt auf das Wissen zugreifen könnten, anstatt in Confluence nach Dokumenten zu suchen oder Inhalte aus Schulungen zu googeln.
Just-in-Time ist das genaue Gegenteil von „für alle Fälle“ lernen. Letzteres ist zwar die gängigere Methode zur Wissensvermittlung, aber nicht besonders effizient. Wir müssen Entwicklern den Zugang zu Best Practices für sicheres Codieren erleichtern und ihnen die Vorteile aufzeigen, die sie im Laufe ihrer Karriere erzielen können, während sie sich weiterhin auf ihre aktuellen Hauptziele konzentrieren.
Entwickler sollten nicht gezwungen werden, sich um ihre Ausbildung zu kümmern.
Wir wissen bereits, dass die Arbeitszeiten zu lang sind. Welche Anreize sind also erforderlich, damit Entwickler in den Hörsaal eilen oder fünf Schritte durchlaufen, um durch einen Kontextwechsel Zugang zu statischer, theoriegeleiteter Ausbildung zu erhalten?
Es ist allgemein bekannt, dass die meisten Unternehmen, egal wie viele Schwachstellen sie haben, die zu Datenverletzungen führen, nicht wirklich effektiv sind. Der Datenverletzungsbericht 2020 von Verizon sagt Folgendes : 43 % der Datenverletzungen könnten auf Web-Schwachstellen zurückzuführen sein. Entwickler bekommen keine effektive Schulung. Sie erhalten weder eine Hochschulausbildung noch Maßnahmen zur Verbesserung ihrer Fähigkeiten am Arbeitsplatz. Dann gibt es noch allgemeine Schwachstellen wie SQL-Injection, Old School usw. Pfadauswertung wird nicht zu erheblichen Datenverlusten führen, und der Mangel an Cybersicherheitstechnologien wird nicht außer Kontrolle geraten.
Warum sind die Entwickler überrascht, dass die Ergebnisse nicht gut sind, obwohl sie wissen, dass sie geschult werden und sich mit Sicherheit auskennen? Eine nahtlosere, integrierte und weniger störende Schulungserfahrung, die in der tatsächlichen Arbeitsumgebung wie Jira, GitHub und IDE zugänglich ist, kann sich positiv auf Entwickler und Unternehmen auswirken. Die Branche muss nur noch einen Schritt weitergehen und das Sicherheitsbewusstsein in einer Umgebung fördern, die kein Luxus mehr ist.
Sind Sie bereit, Ihren Entwicklungs-Workflow zu schützen?
Entwickler, die sich mit Sicherheit gut auskennen, werden aufgrund ihrer Fähigkeiten und Schutzfunktionen, die sie bereits in der Phase der Codeerstellung für das Unternehmen bereitstellen können, hoch geschätzt. Sicherheit ist keine Option mehr. Dies gilt insbesondere angesichts der hohen Strafen gemäß DSGVO, der PCI-DSS-Compliance-Vorschriften, der NIST-Governance ... und der erhöhten Wahrscheinlichkeit, in eine Millionenklage wie im Fall Equifax verwickelt zu werden.
Ein integrierter Ansatz kann als Katalysator dienen, um das Interesse von Entwicklern für ein störungsarmes Lernen zu wecken. Er kann Wege für vertiefende Kurse schaffen, Sicherheitsexperten ausbilden und das allgemeine Bewusstsein für die gemeinsame Verantwortung schärfen, die für den sicheren Schutz globaler Daten erforderlich ist. Laden Sie die integrierten Tools für
herunter. Teilen Sie uns Ihre Meinung mit.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
Der Softwareentwicklungslebenszyklus (SDLC) scheint völlig harmlos zu sein. Es handelt sich um einen einzigen Prozess, in dem wir Softwareentwickler alle unsere Kräfte bündeln, um etwas Magisches zu schaffen und der Gesellschaft unverzichtbare digitale Produkte zu präsentieren.
Wenn Sie jedoch schon einmal an einem Softwareentwicklungsprojekt teilgenommen haben, wissen Sie, dass es sich um ein schwieriges Projekt handelt, bei dem es Quests zu bewältigen und Drachen zu besiegen gilt. Eine Zeit lang macht es zwar Spaß, aber Burnout ist eine Tatsache. Aufgrund der Nachfrage nach Software arbeiten wir alle mit Höchstgeschwindigkeit, um das Beste aus unserer Zeit herauszuholen. Das gilt insbesondere für das Entwicklungsteam.
Stellen Sie sich nun vor, dass ihnen eine weitere Aufgabe übertragen wurde, die sie unbedingt erledigen müssen. Nämlich die Verantwortung für die Sicherheit der Projektelemente, mit denen sie in Berührung kommen. Dies könnte für einige Personen im schlimmsten Fall dazu führen, dass ihr Kartenhaus zusammenbricht. Ein realistischeres Szenario ist jedoch, dass Probleme, deren Lösung als dringlicher angesehen wird, Vorrang haben, da keine Prioritäten festgelegt wurden. Und wenn die meisten Entwickler nicht in sicherem Programmieren geschult sind (insbesondere wenn Manager der Sicherheit keine Priorität einräumen), ist es nicht verwunderlich, dass es aufgrund häufiger Datenlecks, fehlerhafter App-Veröffentlichungen und massiver Bugs zu einer ernsthaften Fluktuation unter Sicherheitsexperten kommt, die an ihre Grenzen stößt.
Entwickler brauchen AppSec-Unterstützer.
Wenn man sich das oben beschriebene Szenario ansieht, versteht man, warum Sicherheit im Codierungsprozess als „zu schwierig“ eingestuft und dem Sicherheitsteam überlassen wird. Es gibt zu viele konkurrierende Termine, die Schulungen sind unzureichend, und es gibt keinen Grund, sich um Sicherheit zu kümmern, während alle anderen Aufgaben erledigt werden müssen.Um diesen Status quo aufrechtzuerhalten, ist jedoch der Bedarf an Code zu groß. Genau hier können sich Spitzenentwickler von ihren Kollegen abheben, neue Technologien erlernen und vor allem sichereren Code erstellen.
Es ist jedoch zu beachten, dass die Verwaltung der Softwaresicherheit nicht Aufgabe der Entwickler ist. Dies bleibt weiterhin im Zuständigkeitsbereich des AppSec-Teams (in Zusammenarbeit mit sicherheitsbewussten Entwicklern können häufige Fehler wiederholt behoben und mehr Spielraum gewonnen werden). Ein gut funktionierender DevSecOps-Prozess erfordert, dass alle Teammitglieder die notwendige Unterstützung und die erforderlichen Tools erhalten, um ihre Verantwortung für die Sicherheit wahrzunehmen. Die richtige Art von Schulung ist dabei von entscheidender Bedeutung. Um die richtige Balance zwischen den richtigen Tools und Schulungen zu finden, ist die Expertise von AppSec-Spezialisten erforderlich, die eng mit den Entwicklern zusammenarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.
Destruktives Training ist eher nervig als effektiv, und Entwickler zu verärgern ist nicht sinnvoll. Eine Alternative sind IDE- oder Issue-Tracker-Integrationslösungen, die sich auf einfaches Wissen konzentrieren und den Benutzern genau dann die richtigen Informationen liefern, wenn sie diese benötigen.
Das Funktionsprinzip ist wie folgt.
Nicht „für alle Fälle“, sondern zur richtigen Zeit am richtigen Ort.
Situationsbezogene praktische Übungen sind zweifellos die effektivste Trainingsmethode, und sie werden genau dann bereitgestellt, wenn sie am besten geeignet sind. Dies wird auch als „Just-in-Time“-Training (Jit) bezeichnet und ist für Entwickler, die sichere Programmierung lernen, äußerst nützlich.
Die JIT-Schulung, die Toyotas Lean-Produktionsprinzipien einschließlich der Herkunftsorte umfasst, wurde so konzipiert, dass sie je nach Situation zum wichtigsten Zeitpunkt und nach Bedarf aktiviert wird. Hat ein Entwickler gerade etwas geschrieben, das auf unangemessene Berechtigungen hindeutet? Was wäre, wenn eine kleine Hintertür geöffnet wäre und ein Angreifer aus der Ferne Code ausführen könnte?Es wäre viel einprägsamer, wenn Entwickler bei Bedarf direkt auf das Wissen zugreifen könnten, anstatt in Confluence nach Dokumenten zu suchen oder Inhalte aus Schulungen zu googeln.
Just-in-Time ist das genaue Gegenteil von „für alle Fälle“ lernen. Letzteres ist zwar die gängigere Methode zur Wissensvermittlung, aber nicht besonders effizient. Wir müssen Entwicklern den Zugang zu Best Practices für sicheres Codieren erleichtern und ihnen die Vorteile aufzeigen, die sie im Laufe ihrer Karriere erzielen können, während sie sich weiterhin auf ihre aktuellen Hauptziele konzentrieren.
Entwickler sollten nicht gezwungen werden, sich um ihre Ausbildung zu kümmern.
Wir wissen bereits, dass die Arbeitszeiten zu lang sind. Welche Anreize sind also erforderlich, damit Entwickler in den Hörsaal eilen oder fünf Schritte durchlaufen, um durch einen Kontextwechsel Zugang zu statischer, theoriegeleiteter Ausbildung zu erhalten?
Es ist allgemein bekannt, dass die meisten Unternehmen, egal wie viele Schwachstellen sie haben, die zu Datenverletzungen führen, nicht wirklich effektiv sind. Der Datenverletzungsbericht 2020 von Verizon sagt Folgendes : 43 % der Datenverletzungen könnten auf Web-Schwachstellen zurückzuführen sein. Entwickler bekommen keine effektive Schulung. Sie erhalten weder eine Hochschulausbildung noch Maßnahmen zur Verbesserung ihrer Fähigkeiten am Arbeitsplatz. Dann gibt es noch allgemeine Schwachstellen wie SQL-Injection, Old School usw. Pfadauswertung wird nicht zu erheblichen Datenverlusten führen, und der Mangel an Cybersicherheitstechnologien wird nicht außer Kontrolle geraten.
Warum sind die Entwickler überrascht, dass die Ergebnisse nicht gut sind, obwohl sie wissen, dass sie geschult werden und sich mit Sicherheit auskennen? Eine nahtlosere, integrierte und weniger störende Schulungserfahrung, die in der tatsächlichen Arbeitsumgebung wie Jira, GitHub und IDE zugänglich ist, kann sich positiv auf Entwickler und Unternehmen auswirken. Die Branche muss nur noch einen Schritt weitergehen und das Sicherheitsbewusstsein in einer Umgebung fördern, die kein Luxus mehr ist.
Sind Sie bereit, Ihren Entwicklungs-Workflow zu schützen?
Entwickler, die sich mit Sicherheit gut auskennen, werden aufgrund ihrer Fähigkeiten und Schutzfunktionen, die sie bereits in der Phase der Codeerstellung für das Unternehmen bereitstellen können, hoch geschätzt. Sicherheit ist keine Option mehr. Dies gilt insbesondere angesichts der hohen Strafen gemäß DSGVO, der PCI-DSS-Compliance-Vorschriften, der NIST-Governance ... und der erhöhten Wahrscheinlichkeit, in eine Millionenklage wie im Fall Equifax verwickelt zu werden.
Ein integrierter Ansatz kann als Katalysator dienen, um das Interesse von Entwicklern für ein störungsarmes Lernen zu wecken. Er kann Wege für vertiefende Kurse schaffen, Sicherheitsexperten ausbilden und das allgemeine Bewusstsein für die gemeinsame Verantwortung schärfen, die für den sicheren Schutz globaler Daten erforderlich ist. Laden Sie die integrierten Tools für
herunter. Teilen Sie uns Ihre Meinung mit.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
