Vor zwei Jahren hat die Cybersecurity & Infrastructure Security Agency (CISA) der US-Regierung ihre umfassenden Secure by Design-Richtlinien veröffentlicht und damit einen Wendepunkt für Softwarehersteller markiert. Zum ersten Mal gab es sichtbare, hochrangige Unterstützung für die Anhebung der Standards für Softwarequalität und -sicherheit, mit einem Vorstoß hin zu einer Verantwortlichkeit des Anbieters - im Gegensatz zum Endbenutzer - für die Gewährleistung von Code, der frei von Sicherheitslücken ist.

Ein Konsens über die praktische Umsetzung dieser Grundsätze auf Unternehmensebene konnte jedoch nicht erzielt werden. Unter den Sicherheitsexperten scheint es keinen Konsens darüber zu geben, was "Secure by Design" ausmacht, geschweige denn einen Standardpfad, um dies zu erreichen. Secure Code Warrior befragte Sicherheitsexperten in Unternehmen, die sich mit der Entwicklung von Software befassen, zu ihren aktuellen Ansätzen für Secure by Design-Prinzipien, einschließlich der Frage, wie diese in ihre aktuelle Sicherheitslage und den Softwareentwicklungszyklus (SDLC) implementiert werden. Dabei wurde deutlich, dass es weder einen allgemein akzeptierten Standard für die Umsetzung der CISA-Richtlinien noch aktive Benchmarks zur Ermittlung einer erfolgreichen Einführung gibt. Hier muss schnell Abhilfe geschaffen werden, wenn wir als Branche die Vorteile einer erhöhten Sicherheitsverantwortung und Softwarequalität nutzen wollen. 

‍

In diesem Forschungspapier werden die Mitbegründer von Secure Code Warrior , Pieter Danhieux und Dr. Matias Madou, Ph.D., zusammen mit den Experten Chris Inglis, ehemaliger US National Cyber Director (jetzt strategischer Berater der Paladin Capital Group), und Devin Lynch, Senior Director, Paladin Global Institute, die wichtigsten Ergebnisse aus mehr als zwanzig ausführlichen Interviews mit Sicherheitsverantwortlichen in Unternehmen, darunter CISOs, ein VP für Anwendungssicherheit und Software-Sicherheitsexperten, vorstellen:

‍

• Einblicke in die allgemeinen Herausforderungen von Sicherheitsprogrammen in Unternehmen;
• Die Rolle von Secure by Design-Initiativen, einschließlich der Frage, wie diese aktiviert und auf die Teams verteilt werden;
• Die Rolle der KI in der Softwareentwicklung und moderne Bedrohungsmodellierung;
• Interpretationen von Best Practices und die Rolle, die Präzisionsdaten und Benchmarking bei der branchenweiten Ausrichtung auf eine tragfähige Secure by Design-Strategie spielen können. 

‍

Expertenunterstützung, die sichere Kodierung möglich macht

SCW Professional Services bringt tiefes Fachwissen in jede Phase Ihres Programms ein. Unser Team aus ehemaligen Sicherheitsexperten verwendet einen risikobasierten Ansatz, um den Erfolg zu beschleunigen.

• Verlassen Sie sich auf kampferprobtes Fachwissen - keine Mutmaßungen, nur Erkenntnisse aus der Praxis
• Anwendung einer risikobasierten Methodik zur Verringerung des Entwicklerrisikos
• Anpassung von Einführung und Schulung an Ihre Teams, Tools und Kultur
• Entwickeln Sie Ihr Programm mit laufenden Überprüfungen und ROI-Tracking weiter

Ganz gleich, ob Sie gerade erst anfangen oder Ihr Programm auf die nächste Stufe heben wollen, wir helfen Ihnen, schneller und nachhaltiger erfolgreich zu sein.

‍

Unsere Inhalte sind sorgfältig für alle Personen zusammengestellt, die am Lebenszyklus der Softwareentwicklung beteiligt sind. Secure Code Warrior ist der Meinung, dass jeder, der an der Softwareentwicklung beteiligt ist, dafür verantwortlich ist, dass die Software korrekt erstellt und bereitgestellt wird. Daher bieten wir eine Reihe von Inhalten an, die von Sensibilisierungsthemen bis hin zu detaillierten, praktischen Übungen für die folgenden Rollen reichen:

Secure Code Warrior bietet eine Reihe von Inhalten, von Sensibilisierungsthemen bis hin zu detaillierten, praktischen Übungen, für alle Personen, die am Lebenszyklus der Softwareentwicklung beteiligt sind. Wir glauben, dass jeder in der Softwareentwicklung eine Rolle bei der sicheren Erstellung und Bereitstellung von Software spielt. Unsere Inhalte sind für eine Vielzahl von Rollen konzipiert.

• Software-Entwickler: AI/Vibe Coders, Frontend, Backend, API Engineers, Mobile Engineers, Android/iOS Engineers, Embedded und Automotive Industry Engineers
• Technische Fachkräfte: DevOps, Systemadministratoren, Cloud-Ingenieure, Architekten, QA-Ingenieure/Manager/Tester,,
• Management und andere: Technische Leiter, Produktmanager/Projektmanager/Business-Analysten, Datenwissenschaftler/Analysten/Ingenieure 

Secure Code Warrior bietet praktische Übungen in bestimmten Programmiersprachen und Frameworks, damit Entwickler diese Fähigkeiten bei ihrer täglichen Arbeit anwenden können. Wir unterstützen mehr als 65+ Programmiersprachen/Frameworks und 10.000 praktische Übungen.

Quests ist eine learning platform , die Entwicklern hilft, Software-Sicherheitsrisiken zu verringern, indem sie ihre Fähigkeiten zur sicheren Programmierung verbessern. Mit kuratierten Lernpfaden, praktischen Herausforderungen und interaktiven Aktivitäten befähigt sie Entwickler, Schwachstellen zu erkennen und zu vermeiden.

OpenText Fortify und Secure Code Warrior haben sich zusammengetan, um die Anwendungssicherheit zu verbessern, indem sie Entwicklern die Möglichkeit geben, zu Security Champions zu werden. Die Integration ermöglicht eine gezielte Schwachstellenaufklärung, eine schnellere Behebung von Schwachstellen und praktische Schulungen, um Entwickler von Anfang an für das Schreiben von sicherem Code zu sensibilisieren.

Diese Zusammenarbeit reduziert Sicherheitsrisiken, minimiert Kosten und vereinfacht die Einhaltung von Vorschriften, indem sie die Sicherheit in den Lebenszyklus der Softwareentwicklung einbettet und Unternehmen dabei hilft, das Vertrauen ihrer Kunden zu stärken und qualitativ hochwertigen Code schneller zu liefern.

Lesen Sie mehr über die Partnerschaft in unserem One Pager.