Secure Code Warrior Forschung: Kritische Infrastrukturindustrien machen Fortschritte bei der Bereitschaft von Entwicklern für Secure-by-Design

Eine neue Analyse, die in Zusammenarbeit mit dem Paladin Global Institute erstellt wurde, unterstreicht die kritische Notwendigkeit, Entwickler weiterzubilden, um den Secure-by-Design-Fortschritt richtig zu messen 

‍

BOSTON - 15. Oktober 2024 - Heute, Secure Code Warrior, der weltweit führende Anbieter von Sicherheitsprodukten für Entwickler, hat heute neue Erkenntnisse über die Weiterbildung von Entwicklern und deren Auswirkungen auf Secure-by-Design (SBD)-Initiativen von Unternehmen veröffentlicht. Seit April 2024 haben mehr als 200 Unternehmen, darunter Secure Code Warrior, die Secure-by-Design-Verpflichtung unterzeichnet. Die neue Analyse zeigt, dass Unternehmen in kritischen Infrastrukturbranchen wie Finanzdienstleistungen, Verteidigung, Gesundheitswesen und IT bei der Vorbereitung ihrer Entwickler auf SBD-Initiativen Fortschritte machen. Secure Code Warrior hat herausgefunden, dass die Entwicklerteams in diesen Branchen im Durchschnitt eine höhere Sicherheitsposition aufweisen als in anderen Branchen - gemessen am SCW Trust Score, einem globalen Benchmark zur Quantifizierung der Sicherheitskompetenzen von Entwicklerteams. 

Für Chief Information Security Officers (CISOs) wird es immer schwieriger, den tatsächlichen ROI in der Anfangsphase ihrer SBD-Initiativen nachzuweisen. In den letzten Jahren war das Fehlen eines Benchmarks zur Bewertung, wie Unternehmen im Vergleich zu Industriestandards abschneiden, eine zentrale Herausforderung. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen liegt nicht nur darin, den Entwicklern die Fähigkeiten zu vermitteln, die sie benötigen, um einen sicheren Code zu gewährleisten, sondern auch darin, der Industrie und den staatlichen Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind.

"Wir haben jetzt mehr denn je eine nationale Verantwortung, dafür zu sorgen, dass SBD-Ausbildungsprogramme vorhanden sind", sagte Chris Inglis, Senior Strategic Advisor bei der Paladin Capital Group und ehemaliger National Cyber Director. "Die Risikominderung steht im Mittelpunkt dieser jüngsten Analyse, und Secure Code Warrior ist führend bei der Verbesserung der Sicherheitsausbildung von Entwicklern, der Verhinderung von Cyberangriffen und der Stärkung der kritischen Infrastruktur unserer Nation."

Die wichtigsten Ergebnisse: Die Analyse vonSecure Code Warriorzur Qualifizierung von Entwicklern in kritischen Infrastrukturbranchen basiert auf Erkenntnissen aus über 20 Millionen Datenpunkten von 600 Unternehmenskunden und mehr als 250.000 aktiven Entwicklern weltweit. Die Analyse ergab Folgendes:

• Die Gesamtzahl der Entwickler, die derzeit an entwicklerzentrierten SBD-Weiterbildungsinitiativen teilnehmen, beträgt weniger als 4 % aller Entwickler weltweit.
• Bestimmte Sektoren mit kritischen Infrastrukturen, wie die Finanzdienstleistungsbranche, wiesen, gemessen am SCW TrustScore, im Vergleich zum Durchschnitt der nicht kritischen Infrastrukturen die höchste Sicherheitslage auf. Der durchschnittliche TrustScore für Finanzdienstleistungen lag beispielsweise bei 336. 
• Überraschenderweise war der Finanzdienstleistungssektor trotz der Anforderungen an die Einhaltung von Vorschriften und Bestimmungen ähnlich gut abgesichert wie andere kritische Sektoren. 
• Secure-by-Design-Initiativen in großem und kleinem Maßstab können erfolgreich sein, und Untersuchungen zeigen, dass kleinere Initiativen schnell anlaufen und schneller durchgeführt werden können. Damit diese Initiativen jedoch erfolgreich sind und schneller eine messbare Kapitalrendite (ROI) erbringen, muss ein Mandat erteilt werden, so die Forschung.
• Wenn Weiterbildungsinitiativen fest etabliert sind, sind die von den Entwicklern in die Anwendungen eingebrachten Risiken deutlich geringer. Die Analyse ergab, dass Entwickler im Rahmen großer Weiterbildungsinitiativen (7000+ Entwickler in einem einzigen Unternehmen) die Schwachstellen vorhersehbar um 47-53 % reduzieren können.

Secure-By-Design gewinnt weltweit an Bedeutung, da die Länder ähnliche Richtlinien in ihre breiteren Cybersicherheitsstrategien einbinden. Die Bereitstellung sicherer Standardeinstellungen für Entwickler und die Förderung von Softwareentwicklern, die sich mit Sicherheit auskennen, sind jedoch ohne die richtigen Datenpunkte für einen Benchmark der Entwicklerfähigkeiten nur schwer zu erreichen. Ein agiles Weiterbildungsprogramm kann bei den Entwicklern Anklang finden, wenn es auf etablierten Grundlagen aufbaut und praktische Übungen enthält, die sich mit realen Problemen der Entwickler befassen.

"In einer Zeit beispielloser globaler Cyber-Bedrohungen zeigen diese neuen Ergebnisse die Notwendigkeit, SBD-Initiativen in unserer gesamten digitalen Infrastruktur zu verbessern, um kritische Schwachstellen zu reduzieren", sagte Kemba Walden, Präsident des Paladin Global Institute und ehemaliger amtierender National Cyber Director. "Diese Untersuchung ist ein klarer Aufruf zum Handeln, um das Personal weiterzubilden und Benchmarks zu schaffen, um wichtige Cybersicherheitsziele zu erreichen."

"Baselines und Benchmarks können die Sicherheitslage eines Unternehmens erheblich optimieren, indem sie sicheres Coding zu einem wesentlichen Teil der DNA machen", sagt Matias Madou, Mitbegründer und CTO von Secure Code Warrior. "Um zu wissen, ob eine SBD-Initiative wirklich Fortschritte macht, braucht man den quantitativen Nachweis, dass die Bemühungen um die Weiterbildung von Entwicklern effektiv sind und dass sie die besten Sicherheitspraktiken in ihre Arbeitsgewohnheiten aufnehmen. Man muss volles Vertrauen haben, dass die Entwickler ihre Lizenz zum Programmieren wirklich verdient haben."

Viele Sicherheitsverantwortliche weisen immer wieder auf die Schwierigkeit hin, die meisten Elemente eines Unternehmenssicherheitsprogramms zu skalieren, insbesondere diejenigen, die eine kontinuierliche Weiterbildung und assessment der einzelnen Mitarbeiter erfordern. Dies ist eine berechtigte Sorge, aber im Zuge mehrerer globaler Gesetzesreformen und Richtlinien, die von Entwicklern nachgewiesene Sicherheitskenntnisse verlangen, muss sie überwunden werden. Viele Organisationen auf der ganzen Welt haben bereits Maßnahmen ergriffen und groß angelegte Initiativen zur Verbesserung der Qualifikation durchgeführt, die eine deutliche Wirkung zeigen. 

Um mehr über die neueste Analyse von Secure Code Warriorund den SCW Trust Score zu erfahren, klicken Sie hier.

‍

Über Secure Code Warrior:

Secure Code Warrior ist eine sichere Kodierungsplattform, die die Standards setzt, die unsere digitale Welt sicher machen. Wir tun dies, indem wir die weltweit führende agile learning platform zur Verfügung stellen, die Entwicklern die effektivste Lösung zur sicheren Programmierung bietet, um Software-Sicherheitsprinzipien zu erlernen, anzuwenden und zu bewahren. Mehr als 600 Unternehmen vertrauen Secure Code Warrior , um Sicherheitsprogramme für agiles Lernen zu implementieren und sicherzustellen, dass die Anwendungen, die sie veröffentlichen, frei von Schwachstellen sind.

Weitere Informationen über Secure Code Warrior finden Sie unter www.securecodewarrior.com.