Agile Lernplattformen: ROI der entwicklergesteuerten Sicherheit

In einer sich schnell entwickelnden Softwarelandschaft tragen Entwickler nun die Verantwortung für sichere Produkte. In diesem gemeinsamen Bericht von Secure Code Warrior und Accenture untersuchen wir die Herausforderungen im Zusammenhang mit herkömmlichen Sicherheitsschulungen und die Opportunitätskosten, die durch die Unterbrechung von Entwickler-Workflows entstehen. Ein agiles learning platform für sicheren Code, das Schwachstellen um die Hälfte reduziert und gleichzeitig die Produktivität steigert. 

In diesem Whitepaper packen unsere Experten von Secure Code Warrior und Accenture aus: 

• Wie man den ROI von agilem Lernen mit Faktoren wie Lizenzierung, Gehältern und Wiederherstellungszeit berechnet. 
• Erfahren Sie, wie Accenture Secure Code Warrior integriert, das Training für sicheren Code umgestaltet und den Wert der Entwicklerausbildung hervorhebt.
• Secure Code Warrior Die Produktivität der Entwickler steigt um 148 %, die Anzahl der Schwachstellen wird reduziert und die Release-Zyklen werden beschleunigt, so dass sich proaktive Sicherheitsmaßnahmen finanziell lohnen.

‍

Was ist Devlympics?

Devlympics ist ein jährliches globales tournament , das von Secure Code Warrior auf seiner agilen Website learning platform veranstaltet wird, um die Fähigkeiten von Entwicklern in Bezug auf sicheren Code zu testen.

Während der 24-stündigen Veranstaltung tournament traten Entwickler aus der ganzen Welt in offensiven und defensiven Programmierherausforderungen in Programmiersprachen ihrer Wahl an. Die Entwickler hatten die Möglichkeit, sich mit Gleichgesinnten in einer Reihe von Fertigkeiten zu messen und sich zu duellieren, um Punkte zu sammeln und an die Spitze der Rangliste zu gelangen.

In diesem Bericht erhalten Sie einen Überblick über die Ergebnisse der Devlympics 2023 sowie einen tiefen Einblick in die Stärken und Möglichkeiten, die von Hunderten von Entwicklern bei den verschiedenen Herausforderungen hervorgehoben wurden. Außerdem haben wir Trends für jede Branche, Sprache und häufige CWEs (Common Weakness Enumerations) hervorgehoben, die von Entwicklern angegangen wurden, um Ihr sicheres Codelernen auf die nächste Stufe zu bringen.

Was Entwickler über Devlympics sagen und Secure Code Warrior

"Secure Code Warrior ist eine tolle Plattform, um sich mit anderen Teilnehmern zu messen und seine Fähigkeiten zu verbessern."

"Secure Code Warrior verfolgt einen interaktiven, Code-Review-ähnlichen Ansatz. 

"Secure Code Warrior ist eine der besten Plattformen, die einen durch interessante Wettbewerbe schult."

"Spannend, aufregend, und ich habe es geliebt!" 

Entwickler lieben Secure Code Warrior

Wir haben nach der Veranstaltung über 200 Teilnehmer befragt, und die Zahlen zeigen, dass die Entwickler den Wettbewerb lieben.

Engagement der Entwickler

Die Beteiligung von Entwicklern an den Devlympics nimmt von Jahr zu Jahr zu. 2023 nahmen über 1000 Entwickler an den tournament teil. Die Devlympics zogen die Aufmerksamkeit von Sicherheitsexperten und Entwicklern aus verschiedenen Branchen und Programmierdisziplinen auf der ganzen Welt auf sich. Mit einer Verdoppelung der Teilnehmerzahl im Vergleich zum letzten Jahr stellen wir einen Trend fest, dass Entwickler immer mehr lernen wollen, wie man sicher programmiert. Durch den Aufbau einer Gemeinschaft von sicherheitskompetenten Entwicklern heben die Devlympics weiterhin den Wert von Entwicklern als erste Verteidigungslinie zum Schutz Ihres Codes vor Sicherheitslücken hervor.

‍

Branchen bei Devlympics vertreten

Sicherer Code ist für alle Branchen wichtig, aber für einige bestimmte Sektoren ist er absolut geschäftskritisch. Branchen wie das Bank- und Finanzwesen und der Technologiesektor stehen bei der Anzahl der teilnehmenden Entwickler an erster Stelle. Dies zeigt, wie wichtig es für diese Branchen ist, sich weiterhin auf sicheren Code zu konzentrieren und diesen zu fördern.

‍

Von der Industrie gespielte Sprachen

Unterschiedliche Branchen nutzen eine Vielzahl von Programmiersprachen - davon gab es 6 verschiedene Kategorien (Web, Mobile, Front-End, API und Cloud sowie Mashup) mit über 30 verschiedenen Sprachen. Dies sind einige der Sprachen, die wir als Trend für verschiedene Branchen festgestellt haben.

‍

Kann nicht aufhören, will nicht aufhören

Die Spieler der Devlympics verbrachten im Durchschnitt fast 3 Stunden auf der Plattform, was zu einer Gesamtspielzeit von 4.152 Stunden führte.

Einige Entwickler, die an der Spitze der Rangliste stehen, haben es auf die nächste Stufe gebracht. Die 20 Spieler mit der längsten Spielzeit spielten im Durchschnitt 14 Stunden auf tournament. Das nenne ich Hingabe!

‍

Full-Stack-Entwickler

Bei den Devlympics spielten 41 % der Entwickler in mindestens 2 verschiedenen Sprachen, wobei fast ein Viertel in mehr als 3 Sprachen spielte.

Laut Stack Overflow werden Entwickler, die Produktionscode in 2 oder mehr Sprachen übertragen, als Full-Stack-Entwickler betrachtet.

Stellt Ihr Schulungsprogramm sicher, dass die Entwickler in allen Technologien geschult werden, in denen sie Code schreiben? Mit über 63 verschiedenen Sprachen und Frameworks, die auf der Plattform Secure Code Warrior angeboten werden, sind Sie bestens gerüstet.

‍

‍

Tech-Stack-Trends

Sicherer Code ist bei öffentlich zugänglichem Code von größter Bedeutung.

In allen Branchen verwenden die Entwickler Web- oder API-Sprachen.

Java Spring und Docker Basic belegten die Spitzenplätze als meistgespielte Einzelsprachen auf der tournament.

‍

‍

‍

Gemeinschaft der Sicherheitsbeauftragten

Bei den diesjährigen Devlympics traten die Besten der Besten an - die meisten von ihnen sind bereits Kunden von Secure Code Warrior - und die Ergebnisse spiegeln dies wider! In allen Branchen schnitten die Teilnehmer der Devlympics deutlich besser ab als der Branchen-Benchmark, den Secure Code Warrior für Assessments auf seiner Plattform ermittelt hat.

Da wir unsere Gemeinschaft engagierter Sicherheits-Champions auf der Plattform Secure Code Warrior weiter ausbauen, erwarten wir, dass diese Zahlen jedes Jahr noch vielversprechender werden!

Wichtige Schwachstellen - Web & API

Die Entwickler, die an den Devlympics teilgenommen haben, zeigten gute Fähigkeiten in den OWASP Top 10 Kategorien für Injection Flaws und anfällige Komponenten von Drittanbietern. Wir sind optimistisch, dass diese Schwachstellen im Laufe der Zeit aus den OWASP-Top-10-Listen verschwinden werden.

Die Massenzuweisung ist immer noch ein großes Problem. Das Qualifikationsniveau der Entwickler war eines der niedrigsten für diese spezielle Schwachstelle. Angesichts des Mangels an automatisierten Werkzeugen und Tests in diesem Bereich ist dies ein echter Grund zur Sorge und sollte genau beobachtet werden. Mehr Aufklärung in diesem Bereich wird auch dazu beitragen, den Druck von Sicherheitsteams, die sich mit dieser speziellen Schwachstelle befassen, zu verringern.

‍

‍

CWE Top 25 der gefährlichsten Software-Schwachstellen

Die Liste der 25 gefährlichsten Software-Schwachstellen der Common Weakness Enumeration (CWE) bietet Entwicklern eine jährliche Auflistung der häufigsten und folgenreichsten Software-Schwachstellen der Gegenwart.

#1 CWE-787 Memory Corruption, #9 CWE-352 Cross-Site Request Forgery, und #10 CWE-434 File Upload waren die niedrigsten Genauigkeitsbewertungen während der Devlympics. 

Schwachstellen im Zusammenhang mit Injektionen wie #3 SWE-89 SQL Injection, #5 CWE-78 OS Command Injection und #8 CWE-22 Path Traversal waren einige der am besten bewerteten CWEs während der Devlympics. Wir gehen davon aus, dass diese Schwachstellen in den Branchenlisten wie den CWE Top 25 oder den OWASP Top 10 in der Hackordnung nach unten rutschen werden, wenn sich die Fähigkeiten der Entwickler verbessern.

‍

Schwäche im Auftrag

‍

Fazit

Die Devlympics 2023 zeigen, dass Entwickler auf der ganzen Welt sich engagieren und lernen, während sie an der tournament teilnehmen. Die Auswirkungen werden über den Stolz hinaus spürbar sein, den sie durch die Teilnahme am Wettbewerb empfinden, aber die realen Szenarien machen es einfach, ihr Wissen zu behalten und von der Praxis zur Anwendung zu gelangen.

Secure Code Warrior ist die branchenführende agile Lösung für sicheren Code learning platform , die Entwicklern die Fähigkeiten vermittelt, die sie zum Schreiben von sicherem Code benötigen.

Mit Secure Code Warrior können Sie Ihre eigenen tournament wie Devlympics für Ihre Entwicklungsteams durchführen. Bringen Sie Ihr Team zu einem unterhaltsamen, spielerischen Wettbewerb zusammen, bei dem sie alles über das Auffinden, Identifizieren und Beheben von Software-Schwachstellen lernen.

‍

Werden Sie Mitglied der wachsenden Gemeinschaft

Unsere Vision ist es, eine globale Gemeinschaft von sicherheitskompetenten Entwicklern zu inspirieren, eine präventive, sichere Programmierkultur zu pflegen. Unser Ziel ist es, die Widerstandsfähigkeit der Sicherheit zu stärken, indem wir das Auftreten von Angriffen, Bedrohungen und Risiken minimieren, damit Sie den Wandel vorantreiben, innovativ sein und das Tempo erhöhen können. Wir glauben, dass Coaching und Mentoring ein wesentlicher Bestandteil unserer Entwicklergemeinschaft sind!

Melden Sie sich für Devlympics 2024 an und folgen Sie uns auf X, um über alle Ankündigungen auf dem Laufenden zu bleiben.

‍

‍

TL;DR

Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.

Situation 

Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet. 

Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen. 

Aktion

Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.

Mads legt Wert auf einen beziehungsorientierten Ansatz,

"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."

Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,

"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen." 

Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen. 

Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch: 

• Verbesserung der Risikobewertung
• Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
• Auflösung Zeit
• Keine geschlossenen Schwachstellen vs. offene Schwachstellen
• Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)

Für Mads,

"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."

Ergebnisse

Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,

"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat." 

Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms. 

Das Ergebnis, so Mads, ist,

"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt." 

Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden. 

Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.

Wichtigste Erkenntnisse

Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist. 

• Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen. 
• Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
• Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird. 

Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag: 

• Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren. 
• Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen. 

‍

Video-Abschrift

Die traditionelle Ausbildung in sicherem Code bringt Ihre Entwickler zum Gähnen. Oder?

Mit dem agilen Lernansatz von Secure Code Warriors lernen Entwickler schnell und in kurzen, hochrelevanten Mikroblöcken - just in time.

Coding Labs, unsere simulierte IDE-Lernerfahrung, verändert das Spiel Mit Coding Labs lernen Ihre Entwickler in einer vollständig interaktiven IDE-Umgebung, die im Browser läuft, durch praktisches Tun.

Entwickler schreiben Code und beheben Schwachstellen in der realen Welt.

In den Coding Labs erhalten sie automatisch kontextbezogenes Feedback in Echtzeit, das sie benötigen. Dieser praktische Lernansatz innerhalb der simulierten IDE hält sie bei der Stange und ist viel relevanter für ihre tägliche Arbeit. Das Ergebnis sind messbare Produktivitätssteigerungen in Bezug auf die Verringerung von Risiken, die Vermeidung kostspieliger Nacharbeiten und die schnellere Behebung von Schwachstellen.

Coding Labs unterscheiden sich deutlich von anderen Optionen für die Sicherheitsausbildung. Die Entwickler müssen keine neuen virtuellen Maschinen aufsetzen.

Es bietet eine praxisnahe Ausbildung mit der Benutzeroberfläche, die Entwickler kennen und lieben.

Es bringt die Entwickler mit vorgeschlagenen Codeschnipseln und Schritt-für-Schritt-Antworten weiter, die auf die Fehler des Entwicklers zugeschnitten sind.

Und es erspart den Entwicklern ineffektive Schulungen und auf die Einhaltung von Vorschriften ausgerichtete Maßnahmen. Aus diesem Grund verzeichnen die Kunden von secure code warrior zwei- bis dreifach messbare Produktivitätsgewinne in Bezug auf die Reduzierung von Risiken, die Vermeidung kostspieliger Nacharbeiten und die schnellere Behebung von Schwachstellen.

Buchen Sie noch heute eine Demo, um Coding Labs in Aktion zu erleben.

‍

Video-Abschrift

Die Sicherheit Ihrer Anwendungen wird jeden Tag schwieriger und teurer. Sicherheitsverletzungen sind häufiger und kostspieliger als je zuvor, die Einhaltung von Vorschriften ist nach wie vor komplex, und der traditionelle Ansatz zum Erlernen von sicherem Code schafft es nicht, Ihre Entwickler einzubinden oder Ihr Risikoprofil zu reduzieren.

Secure code warrior ist die agile learning platform für die Ausbildung in sicherem Code mit den umfassendsten und aktuellsten Sicherheitsinhalten der Branche.

Genauso wie agile Lieferpraktiken die Softwareentwicklung revolutioniert haben, indem sie die Arbeit in kleine Sprints aufgeteilt haben, integriert Secure code warrior die Prinzipien des agilen Lernens in die Ausbildung für sicheren Code, damit Entwickler neue Fähigkeiten schneller verinnerlichen und anwenden können.

Unsere Plattform liefert Mikrobursts von Lerninhalten, die direkt in den Arbeitsablauf des Entwicklers eingebettet sind.

Die Lernerfahrungen werden in das Entwickler-Toolkit integriert, und zwar genau dort, wo sie gebraucht werden, nämlich in GitHub, Jira und anderen.

Mithilfe eines agilen Lernansatzes bietet SCW Entwicklern mehrere Lernpfade, sei es durch Anleitungsleitfäden, Videos, praktische Herausforderungen oder in unseren ID E-Lernerfahrungs-Codierlaboren im Browser. tournaments Mit secure code warrior und unserem agilen Lernansatz werden Ihre Entwickler neue Fähigkeiten schneller und effektiver verinnerlichen, da sie im Kontext der realen täglichen Arbeit mit den Entwicklungswerkzeugen, die sie bereits täglich verwenden, lernen, ohne ihren Arbeitsfluss zu unterbrechen.

Aus diesem Grund verzeichnen secure code warrior Kunden zwei- bis dreifache Geschäftsgewinne in verschiedenen Bereichen.

Secure code warrior ist der Marktführer im Bereich der sicheren Code-Schulung und die einzige Plattform, die auf agilen Lernprinzipien basiert. Buchen Sie noch heute eine Demo und erfahren Sie mehr.

Hintergrund

Netskope, ein weltweit führender SASE-Anbieter, unterstützt Unternehmen bei der Anwendung von Zero-Trust-Prinzipien und KI/ML-Innovationen zum Schutz von Daten und zur Abwehr von Cyberbedrohungen. Die schnelle und einfach zu bedienende Netskope-Plattform bietet optimierten Zugriff und Echtzeit-Sicherheit für Menschen, Geräte und Daten, egal wo sie sich befinden. Netskope hilft Kunden dabei, Risiken zu reduzieren, die Leistung zu beschleunigen und einen unübertroffenen Einblick in alle Cloud-, Web- und privaten Anwendungsaktivitäten zu erhalten. Tausende von Kunden vertrauen auf Netskope und sein leistungsstarkes NewEdge-Netzwerk, wenn es darum geht, sich entwickelnde Bedrohungen, neue Risiken, technologische Veränderungen, organisatorische und netzwerktechnische Änderungen sowie neue gesetzliche Anforderungen zu bewältigen.

Situation

Das Innovationstempo bei Cloud Computing und künstlicher Intelligenz hat den Lebenszyklus der Softwareentwicklung stark beschleunigt. James Robinson - CISO bei Netskope - erkannte, dass die Art und Weise der Schulung von Entwicklern durch die Erfüllung von Compliance-Zielen mit Videos über sichere Entwicklung in nur einer Handvoll Sprachen auf dem heutigen Markt nicht mehr tragbar war. Die rasche Einführung und der schnelle Wandel in seinem Unternehmen stellten die Entwickler von Netskope vor die Herausforderung, sich mit neuen Sprachen und Technologien vertraut zu machen und gleichzeitig ihre Sicherheitsfähigkeiten zu erhalten.

Netskope versuchte, mehr benutzerdefinierte Verbindungen zu schaffen, um die Sprachen und den Umfang, den die Entwickler erhielten, zu erweitern, aber das Engagement war immer noch sehr gering, und bald begann die Schulung die Produktivität zu beeinträchtigen. James wollte den Ansatz so ändern, dass die Entwickler durch mehr praktische Lernansätze für das Thema begeistert wurden.

Aktion

Jährlich stattfindende oder ad-hoc verfügbare Schulungen gingen nicht ganzheitlich auf die Vielfalt der SAST-Tools, Infrastrukturen wie Code-Scanner, ein und konnten nicht in die CI- und CD-Sicherheitsschritte bei Netskope integriert werden. Netskope musste in der Lage sein, die Beteiligung der Entwickler an der Sicherheit in den Analyse- und Testprozess zu integrieren. Damit wurde eine Grundlage für die Ausbildung in sicherer Entwicklung geschaffen, die ihre Compliance-Anforderungen ergänzte.

Nach links schieben

Als Netskope begann, über "Linksverschiebung" zu diskutieren, stellte sich die Frage: Was bedeutet Linksverschiebung eigentlich? Wie weit muss man sich verschieben? Die Unternehmensleitung beschloss, den Namen intern in "Self-Service-Adoption" zu ändern. Damit wurden die Entwickler im Prinzip in die Lage versetzt, sich proaktiv um die Ausbildung ihres sicheren Codes zu kümmern. In Zusammenarbeit mit Secure Code Warriorentwickelten sie ein Programm, das Sicherheitsinhalte für Entwickler sichtbar und zugänglich machte, damit sie nicht zu ungeprüften Lösungen abwandern.

Handlungsfähigkeit und Wert

Die anpassbaren Inhalte und eine Vielzahl praktischer Lernaktivitäten von Secure Code Warrior ermöglichten auch offenere, produktivere Gespräche zwischen Sicherheits- und Entwicklerteams. Als die Entwickler erkannten, dass es nicht mehr nur um die Einhaltung von Vorschriften geht, wurden sie engagierter und interessierten sich mehr für das Thema Sicherheit. Dies eröffnete auch die Möglichkeit, kritische und wiederkehrende Schwachstellen zu untersuchen, um mehr Schulungsinhalte zur Ergänzung ihres Programms zu erstellen.

Ergebnisse

Nach der Einführung des Programms sammelte Netskope fleißig Feedback von den Entwicklern, um sicherzustellen, dass sie den größten Nutzen aus der Plattform ziehen konnten. Die Ergebnisse waren überwältigend positiv.

Laut James Robinson, CISO bei Netskope:

Unser Entwicklerteam hat, nicht zuletzt dank der Plattform von Secure Code Warrior, erfolgreich einen Linksruck vollzogen, indem es einen verlockenderen Selbstbedienungs-Lernansatz gewählt hat, der den Entwicklern die Lernwege schneller zugänglich macht. Und was noch wichtiger ist: Wir haben das Gefühl, dass wir eine bessere Investitionsrendite mit unseren Schulungsbemühungen für Entwickler zu erzielen, da die Beteiligung höher ist und wir nicht mehr das Gefühl haben, dass es sich dabei um eine Aktivität handelt, die man abhaken kann und die der Einhaltung von Vorschriften dient. Das Nebenprodukt von all dem ist, dass wir unsere Entwickler in die Lage versetzen, sich für die Sicherheit einzusetzen.

Die wichtigsten Erkenntnisse

• Unternehmen, die nicht in ein starkes Sicherheitsteam für ihre Anwendungen investieren, lassen zu, dass durch ihren Code mehr Risiken entstehen. Dadurch werden letztlich sowohl Zeit als auch Geld verschwendet, um Schwachstellen zu beheben und Sicherheitsprobleme anzugehen.‍
• Nutzen Sie die Vorteile eines Programms, das Ihnen hilft, Zeit zu sparen, indem Sie jeden Monat ein paar wichtige Inhalte lernen, anstatt eine stundenlange, auf die Einhaltung von Vorschriften ausgerichtete jährliche Schulung durchzuführen. Die Zeit, die durch die Schulung von Entwicklern eingespart wird, zeigt sich in der Verringerung der Nacharbeit, die zur Behebung von Schwachstellen erforderlich ist, die gar nicht erst hätten eingeführt werden dürfen.‍
• Es gibt einen neuen Auftrag, Cloud-Lösungen in großem Umfang zu programmieren. Vor Jahren erwartete man von den Entwicklern, dass sie sich voll und ganz auf die Sicherung des Codes in einer einzigen Programmiersprache konzentrieren. Das ist auf dem heutigen High-Tech-Markt nicht mehr der Fall. Sie müssen mehrere Sprachen auswählen, die am besten zu der Cloud-Infrastruktur und den Anwendungen passen, die ein Unternehmen aufbauen und betreiben möchte.

Situation

Bevor Workday agiles Lernen mit Secure Code Warrior implementierte, nutzte das Unternehmen courses , das aus Aufzeichnungen von PowerPoint-Präsentationen bestand, die die Top-10-Schwachstellen der OWASP mit einigen Pseudocode-Beispielen behandelten. Alex Uda, Programmmanager für Sicherheitsentwicklerschulungen, erkannte, dass dies seinem Team und dem Sicherheitsteam insgesamt nicht dabei half, ihre Ziele zur Verbesserung der allgemeinen Sicherheitslage von Workday zu erreichen. Da die Entwickler immer weniger an den Schulungen teilnahmen, beschlossen sie, ihr Feedback einzuholen, und stellten fest, dass es zwei Punkte gab, die immer wieder auftauchten:

1. Der Bedarf an mehr praktischer Ausbildung 
2. Der Bedarf an mehr sprachspezifischen Inhalten
   

Aktion 

Bei der Zusammenarbeit mit den Entwicklern haben Alex und sein Team zwei Hauptprioritäten identifiziert, um die Zustimmung der Entwickler zu gewinnen und ein ansprechendes, erfolgreiches Lernprogramm für sicheren Code zu schaffen.

Klarheit und Einfachheit 

Die meisten Entwickler kommen nicht mit Sicherheitswissen zu ihrer Arbeit. Alles, was frustrierend oder zeitaufwändig ist, führt dazu, dass die Entwickler zu Workarounds und Hacks greifen. Was Workday an SCW bemerkte, war, dass es den Entwicklern ermöglichte, ein klares Gefühl für den Prozess zu bekommen, ihn sich zu eigen zu machen und ihn in ihre Arbeitsabläufe zu integrieren.

Handlungsfähigkeit und Wert 

Entwickler wollen in erster Linie in der Lage sein, etwas zu tun, das sich auf die Codebasis/den Lebenszyklus auswirkt, und zwar schnell. Um dies zu tun, müssen die Entwickler darüber informiert werden, wie sie dies tun können. Wenn Sie wollen, dass sich ein Entwickler für etwas wie Sicherheit interessiert, müssen Sie den Wert dieser Themen hervorheben.

Bei der Strukturierung des Programms sammelten Alex und sein Team zunächst das Feedback einer Pilotgruppe von Sicherheitsbeauftragten zur Plattform und arbeiteten mit ihrem Customer Success Manager an der Umsetzung ihrer Vorschläge. Alex und das Team untersuchten dann ihre SAST-Tools und verschiedene Metriken zur Anzahl der Vorfälle und Sicherheitsereignisse, um die größten Risiken in ihrer aktuellen Umgebung und die Entwicklungen in der Branche zu bewerten. Sie konzentrierten sich zunächst auf die OWASP Top 10 und die häufigsten, risikoreichen Schwachstellen bei Workday
‍

"Indem wir den Entwicklern die Möglichkeit gaben, zu lernen und zu agieren, hat der SCW es uns ermöglicht, die Sicherheit unserer Software aktiv zu verbessern. Es geht nicht nur um das Schreiben von Code, sondern auch um Wachstumschancen und Karrieremöglichkeiten. Die Unterstützung des Sicherheitsprogramms durch Workday besteht darin, dass es sich um einen Bereich handelt, in dem das gesamte Unternehmen zusammenarbeitet, so dass den Entwicklern diese Zeit zum Lernen und Entwickeln zur Verfügung steht. Wenn man sich zwei Stunden pro Woche Zeit nimmt, um über einen bestimmten Zeitraum etwas zu lernen, hilft das, das Muskelgedächtnis mit Beständigkeit aufzubauen."
‍

Ergebnisse

Traditionell ist es einfach, die Sicherheit am Ende des Entwicklungsprozesses zu sehen. Durch die Zusammenarbeit mit dem Sicherheitsteam sehen die Entwickler bei Workday die Sicherheit jetzt als eine wichtige Komponente des Entwicklungszyklus. Sie können Sicherheitsprobleme schnell und früher im SDLC angehen, was die größte Auswirkung dieses Programms war. In einem Team in Dublin konnten die Entwickler innerhalb von 18 Monaten die Zahl der Sicherheitsprobleme von 4662 - das sind durchschnittlich 31,08 pro Tag - auf 0 senken.

Alex beschrieb das Wachstum des Programms als "einen Schneeballeffekt, nachdem wir mit Top-of-Mind-Sicherheitsbeauftragten begonnen hatten. Als wir das Programm und seine Vorteile bei den Führungskräften bekannt machten und unsere Mitgliederzahl weiter steigerten, erlebten wir ein fast natürliches Wachstum aufgrund von Mundpropaganda. Was die Schulung betrifft, so ist es unser Ziel, unseren Entwicklern die notwendigen Fähigkeiten zu vermitteln, um Code sicher zu entwickeln. Dies ist besonders wichtig, da Workday weiter wächst."

Die wichtigsten Erkenntnisse

Alex: "Um die Sicherheit erfolgreich zu skalieren, ist es unerlässlich, dass unsere Entwickler ein Sicherheitsdenken haben, das ihnen hilft, Sicherheitsrisiken in der Entwurfsphase ihrer Softwareentwicklung zu erkennen. Dies passt zu unserer "Shift Left"-Initiative, die unsere Entwickler befähigen soll, Zeit, Geld und Nerven zu sparen. Je besser wir beim Erlernen von sicherem Code vorgehen, desto weniger Schwachstellen finden wir in unseren Scans und Pentest-Ergebnissen."

Für Entwickler ist es wichtig, beim Lernen über Sicherheit Spaß zu haben .
SCW zeigt, wie aufregend das sein kann. Wenn Sie sich mit dem Thema Sicherheit befassen, sollten Sie sich voll und ganz darauf einlassen. Betrachten Sie es als Teil Ihres Entwicklungsprozesses und als Teil Ihrer beruflichen Entwicklung.

‍Ermutigen SieEntwickler, sich an das Team zu wenden, wenn sie neugierig auf die Sicherheit sind
Führen Sie ein Gespräch und beginnen Sie die Zusammenarbeit.‍

Sicherheit als Blackbox oder als Zusatz zu Ihrem Projekt ist archaisch und erweist Ihrer Software letztendlich einen schlechten Dienst.
Wenn Sie Sicherheit als Teil des Entwicklungsprozesses einbeziehen - so wie wir TDD, Agile und Linting einbeziehen - verbessern Sie den Ablauf und erhöhen die Qualität der Software, die Sie Ihren Kunden liefern.

‍

Die Einhaltung von Vorschriften ist eine Folge guter Sicherheit, nicht umgekehrt. Wenn die Entwickler aktiv lernen und die Konzepte bei ihrer täglichen Arbeit anwenden, wird die Sicherheit in der Unternehmenskultur ganzheitlich wachsen.

Erfahren Sie, wie Netskope die Flexibilität der Inhalte von Secure Code Warriorund den interaktiven, praxisnahen Lernansatz nutzte, um einen programmatischen Ansatz für entwicklergesteuerte Sicherheit zu schaffen und gleichzeitig die Compliance-Anforderungen der Branche zu erfüllen.

Zum Auftakt des Monats der Cybersicherheit behandelt dieses Webinar folgende Themen:

• Die wichtigsten Geschäftsfaktoren von Netskope und wie sie einen Business Case für SCW und agiles Secure Code Learning entwickelt haben
• Welche Maßnahmen wurden ergriffen, um das Programm auf den Weg zu bringen, und welche Ziele wurden damit verfolgt?
• Wie man mit Entwicklern zusammenarbeitet und ihr Engagement als Erfolgsfaktor misst
• Wie das Warrior-Programm von Netskope die Teilnahme an der SCW-Ausbildung innerhalb von zwei Jahren verdoppelte

Das Konzept der "Linksverschiebung" ist seit den frühen 2000er Jahren Teil des Diskurses in der Cybersicherheitsbranche. Als Teil der sich entwickelnden Entwicklungsmethodik Agile, gefolgt von DevOps, erlangte das Konzept der "Linksverschiebung" zunächst große Bedeutung, und die sich abzeichnende Bedrohung durch groß angelegte Cyberangriffe erforderte eine Verteidigungsstrategie, da der digitale Fußabdruck der Welt wuchs.

Doch auch fast zwanzig Jahre nach dem Versprechen der "Shift Left"-Bewegung, die Bereitstellung sicherer Software zu revolutionieren, sehen wir uns immer noch mit einer Flut unsicheren Codes, einem geringen Sicherheitsbewusstsein in den Unternehmen und einer daraus resultierenden Cyberkriminalität konfrontiert, die von Jahr zu Jahr an Umfang und Schlagkraft zunimmt. Schätzungen zufolge werden Cyberangriffe die Welt bis 2025 jährlich 10,5 Billionen US-Dollar kosten.

Die immer größer werdende Kluft bei den Cybersecurity-Fähigkeiten hat dafür gesorgt, dass wir seit geraumer Zeit zu wenig erfahrenes Sicherheitspersonal haben, und obwohl dies für die meisten Sicherheitsverantwortlichen und CISOs ein kritischer Punkt ist, können wir es uns einfach nicht leisten, geduldig auf eine wundersame Veränderung der Umstände zu warten. Der derzeitige Ansatz ist fehlerhaft, und wir müssen die Ressourcen, die wir direkt vor uns haben, wiederbeleben und nutzen, und in der Tat ist Abhilfe in Form von sicherheitsqualifizierten Entwicklern möglich.

In diesem Whitepaper erörtert der Sicherheitsexperte und Secure Code Warrior CTO & Mitbegründer Matias Madou, Ph.D:

• Die sechs Säulen, die Sie benötigen, um eine effektive Sicherheitsschulung und -befähigung für Ihre Entwicklungsgruppe einzuführen.
• Erfahrungen von zehn Führungskräften bei der Umsetzung von Sicherheitsprogrammen auf Unternehmensebene.
• Häufige Fallstricke, die Sie auf Ihrem Weg zum Erfolg vermeiden sollten.

‍