Maschinen für künstliche Intelligenz werden allmählich überall eingesetzt, wobei jedes neue Modell und jede neue Version scheinbar immer leistungsfähigere und beeindruckendere Fähigkeiten hervorbringt, die in einer Vielzahl von Bereichen eingesetzt werden können. Ein Bereich, der als guter möglicher Anwendungsfall für KI vorgeschlagen wurde, ist das Schreiben von Code, und einige Modelle haben ihre Fähigkeiten bereits in einer Vielzahl von Programmiersprachen unter Beweis gestellt.

Die Annahme, dass KI die Arbeit menschlicher Softwareingenieure ersetzen könnte, ist jedoch übertrieben. Alle heute eingesetzten Spitzen-KI-Modelle haben bei ihren fortgeschrittenen Programmierfähigkeiten kritische Grenzen aufgezeigt, nicht zuletzt ihre Neigung, Fehler und Schwachstellen in den Code einzubringen, den sie mit rasender Geschwindigkeit kompilieren. 

Es stimmt zwar, dass der Einsatz von KI überlasteten Programmierern etwas Zeit ersparen kann, aber die Zukunft wird wahrscheinlich eine sein, in der Menschen und KI zusammenarbeiten, wobei talentiertes Personal ausschließlich für die Anwendung kritischen Denkens und präziser Fähigkeiten zuständig ist, die sicherstellen, dass der gesamte Code so sicher wie möglich ist. Daher ist die Fähigkeit, sicheren Code zu schreiben, Schwachstellen zu erkennen und sicherzustellen, dass Anwendungen so gut wie möglich geschützt sind, lange bevor sie jemals in eine Produktionsumgebung gelangen, von entscheidender Bedeutung.

In diesem neuen Whitepaper von Secure Code Warrior erfahren Sie mehr:

• Die Fallstricke des blinden Vertrauens in die LLM-Codeausgabe.
• Warum sicherheitskompetente Entwickler der Schlüssel zum sicheren "Pair Programming" mit KI-Coding-Tools sind.
• Die besten Strategien zur Qualifizierung der Entwicklungskohorte im Zeitalter der KI-gestützten Programmierung.
• Eine interaktive Herausforderung, die die Grenzen der KI aufzeigt (und wie man sie umgehen kann).

‍

Agile Lernplattformen: ROI der entwicklergesteuerten Sicherheit

In einer sich schnell entwickelnden Softwarelandschaft tragen Entwickler nun die Verantwortung für sichere Produkte. In diesem gemeinsamen Bericht von Secure Code Warrior und Accenture untersuchen wir die Herausforderungen im Zusammenhang mit herkömmlichen Sicherheitsschulungen und die Opportunitätskosten, die durch die Unterbrechung von Entwickler-Workflows entstehen. Ein agiles learning platform für sicheren Code, das Schwachstellen um die Hälfte reduziert und gleichzeitig die Produktivität steigert. 

In diesem Whitepaper packen unsere Experten von Secure Code Warrior und Accenture aus: 

• Wie man den ROI von agilem Lernen mit Faktoren wie Lizenzierung, Gehältern und Wiederherstellungszeit berechnet. 
• Erfahren Sie, wie Accenture Secure Code Warrior integriert, das Training für sicheren Code umgestaltet und den Wert der Entwicklerausbildung hervorhebt.
• Secure Code Warrior Die Produktivität der Entwickler steigt um 148 %, die Anzahl der Schwachstellen wird reduziert und die Release-Zyklen werden beschleunigt, so dass sich proaktive Sicherheitsmaßnahmen finanziell lohnen.

‍

Was ist Devlympics?

Devlympics ist ein jährliches globales tournament , das von Secure Code Warrior auf seiner agilen Website learning platform veranstaltet wird, um die Fähigkeiten von Entwicklern in Bezug auf sicheren Code zu testen.

Während der 24-stündigen Veranstaltung tournament traten Entwickler aus der ganzen Welt in offensiven und defensiven Programmierherausforderungen in Programmiersprachen ihrer Wahl an. Die Entwickler hatten die Möglichkeit, sich mit Gleichgesinnten in einer Reihe von Fertigkeiten zu messen und sich zu duellieren, um Punkte zu sammeln und an die Spitze der Rangliste zu gelangen.

In diesem Bericht erhalten Sie einen Überblick über die Ergebnisse der Devlympics 2023 sowie einen tiefen Einblick in die Stärken und Möglichkeiten, die von Hunderten von Entwicklern bei den verschiedenen Herausforderungen hervorgehoben wurden. Außerdem haben wir Trends für jede Branche, Sprache und häufige CWEs (Common Weakness Enumerations) hervorgehoben, die von Entwicklern angegangen wurden, um Ihr sicheres Codelernen auf die nächste Stufe zu bringen.

Was Entwickler über Devlympics sagen und Secure Code Warrior

"Secure Code Warrior ist eine tolle Plattform, um sich mit anderen Teilnehmern zu messen und seine Fähigkeiten zu verbessern."

"Secure Code Warrior verfolgt einen interaktiven, Code-Review-ähnlichen Ansatz. 

"Secure Code Warrior ist eine der besten Plattformen, die einen durch interessante Wettbewerbe schult."

"Spannend, aufregend, und ich habe es geliebt!" 

Entwickler lieben Secure Code Warrior

Wir haben nach der Veranstaltung über 200 Teilnehmer befragt, und die Zahlen zeigen, dass die Entwickler den Wettbewerb lieben.

Engagement der Entwickler

Die Beteiligung von Entwicklern an den Devlympics nimmt von Jahr zu Jahr zu. 2023 nahmen über 1000 Entwickler an den tournament teil. Die Devlympics zogen die Aufmerksamkeit von Sicherheitsexperten und Entwicklern aus verschiedenen Branchen und Programmierdisziplinen auf der ganzen Welt auf sich. Mit einer Verdoppelung der Teilnehmerzahl im Vergleich zum letzten Jahr stellen wir einen Trend fest, dass Entwickler immer mehr lernen wollen, wie man sicher programmiert. Durch den Aufbau einer Gemeinschaft von sicherheitskompetenten Entwicklern heben die Devlympics weiterhin den Wert von Entwicklern als erste Verteidigungslinie zum Schutz Ihres Codes vor Sicherheitslücken hervor.

‍

Branchen bei Devlympics vertreten

Sicherer Code ist für alle Branchen wichtig, aber für einige bestimmte Sektoren ist er absolut geschäftskritisch. Branchen wie das Bank- und Finanzwesen und der Technologiesektor stehen bei der Anzahl der teilnehmenden Entwickler an erster Stelle. Dies zeigt, wie wichtig es für diese Branchen ist, sich weiterhin auf sicheren Code zu konzentrieren und diesen zu fördern.

‍

Von der Industrie gespielte Sprachen

Unterschiedliche Branchen nutzen eine Vielzahl von Programmiersprachen - davon gab es 6 verschiedene Kategorien (Web, Mobile, Front-End, API und Cloud sowie Mashup) mit über 30 verschiedenen Sprachen. Dies sind einige der Sprachen, die wir als Trend für verschiedene Branchen festgestellt haben.

‍

Kann nicht aufhören, will nicht aufhören

Die Spieler der Devlympics verbrachten im Durchschnitt fast 3 Stunden auf der Plattform, was zu einer Gesamtspielzeit von 4.152 Stunden führte.

Einige Entwickler, die an der Spitze der Rangliste stehen, haben es auf die nächste Stufe gebracht. Die 20 Spieler mit der längsten Spielzeit spielten im Durchschnitt 14 Stunden auf tournament. Das nenne ich Hingabe!

‍

Full-Stack-Entwickler

Bei den Devlympics spielten 41 % der Entwickler in mindestens 2 verschiedenen Sprachen, wobei fast ein Viertel in mehr als 3 Sprachen spielte.

Laut Stack Overflow werden Entwickler, die Produktionscode in 2 oder mehr Sprachen übertragen, als Full-Stack-Entwickler betrachtet.

Stellt Ihr Schulungsprogramm sicher, dass die Entwickler in allen Technologien geschult werden, in denen sie Code schreiben? Mit über 63 verschiedenen Sprachen und Frameworks, die auf der Plattform Secure Code Warrior angeboten werden, sind Sie bestens gerüstet.

‍

‍

Tech-Stack-Trends

Sicherer Code ist bei öffentlich zugänglichem Code von größter Bedeutung.

In allen Branchen verwenden die Entwickler Web- oder API-Sprachen.

Java Spring und Docker Basic belegten die Spitzenplätze als meistgespielte Einzelsprachen auf der tournament.

‍

‍

‍

Gemeinschaft der Sicherheitsbeauftragten

Bei den diesjährigen Devlympics traten die Besten der Besten an - die meisten von ihnen sind bereits Kunden von Secure Code Warrior - und die Ergebnisse spiegeln dies wider! In allen Branchen schnitten die Teilnehmer der Devlympics deutlich besser ab als der Branchen-Benchmark, den Secure Code Warrior für Assessments auf seiner Plattform ermittelt hat.

Da wir unsere Gemeinschaft engagierter Sicherheits-Champions auf der Plattform Secure Code Warrior weiter ausbauen, erwarten wir, dass diese Zahlen jedes Jahr noch vielversprechender werden!

Wichtige Schwachstellen - Web & API

Die Entwickler, die an den Devlympics teilgenommen haben, zeigten gute Fähigkeiten in den OWASP Top 10 Kategorien für Injection Flaws und anfällige Komponenten von Drittanbietern. Wir sind optimistisch, dass diese Schwachstellen im Laufe der Zeit aus den OWASP-Top-10-Listen verschwinden werden.

Die Massenzuweisung ist immer noch ein großes Problem. Das Qualifikationsniveau der Entwickler war eines der niedrigsten für diese spezielle Schwachstelle. Angesichts des Mangels an automatisierten Werkzeugen und Tests in diesem Bereich ist dies ein echter Grund zur Sorge und sollte genau beobachtet werden. Mehr Aufklärung in diesem Bereich wird auch dazu beitragen, den Druck von Sicherheitsteams, die sich mit dieser speziellen Schwachstelle befassen, zu verringern.

‍

‍

CWE Top 25 der gefährlichsten Software-Schwachstellen

Die Liste der 25 gefährlichsten Software-Schwachstellen der Common Weakness Enumeration (CWE) bietet Entwicklern eine jährliche Auflistung der häufigsten und folgenreichsten Software-Schwachstellen der Gegenwart.

#1 CWE-787 Memory Corruption, #9 CWE-352 Cross-Site Request Forgery, und #10 CWE-434 File Upload waren die niedrigsten Genauigkeitsbewertungen während der Devlympics. 

Schwachstellen im Zusammenhang mit Injektionen wie #3 SWE-89 SQL Injection, #5 CWE-78 OS Command Injection und #8 CWE-22 Path Traversal waren einige der am besten bewerteten CWEs während der Devlympics. Wir gehen davon aus, dass diese Schwachstellen in den Branchenlisten wie den CWE Top 25 oder den OWASP Top 10 in der Hackordnung nach unten rutschen werden, wenn sich die Fähigkeiten der Entwickler verbessern.

‍

Schwäche im Auftrag

‍

Fazit

Die Devlympics 2023 zeigen, dass Entwickler auf der ganzen Welt sich engagieren und lernen, während sie an der tournament teilnehmen. Die Auswirkungen werden über den Stolz hinaus spürbar sein, den sie durch die Teilnahme am Wettbewerb empfinden, aber die realen Szenarien machen es einfach, ihr Wissen zu behalten und von der Praxis zur Anwendung zu gelangen.

Secure Code Warrior ist die branchenführende agile Lösung für sicheren Code learning platform , die Entwicklern die Fähigkeiten vermittelt, die sie zum Schreiben von sicherem Code benötigen.

Mit Secure Code Warrior können Sie Ihre eigenen tournament wie Devlympics für Ihre Entwicklungsteams durchführen. Bringen Sie Ihr Team zu einem unterhaltsamen, spielerischen Wettbewerb zusammen, bei dem sie alles über das Auffinden, Identifizieren und Beheben von Software-Schwachstellen lernen.

‍

Werden Sie Mitglied der wachsenden Gemeinschaft

Unsere Vision ist es, eine globale Gemeinschaft von sicherheitskompetenten Entwicklern zu inspirieren, eine präventive, sichere Programmierkultur zu pflegen. Unser Ziel ist es, die Widerstandsfähigkeit der Sicherheit zu stärken, indem wir das Auftreten von Angriffen, Bedrohungen und Risiken minimieren, damit Sie den Wandel vorantreiben, innovativ sein und das Tempo erhöhen können. Wir glauben, dass Coaching und Mentoring ein wesentlicher Bestandteil unserer Entwicklergemeinschaft sind!

Melden Sie sich für Devlympics 2024 an und folgen Sie uns auf X, um über alle Ankündigungen auf dem Laufenden zu bleiben.

‍

‍

TL;DR

Sage ist ein britischer multinationaler Anbieter von Unternehmenssoftware, der Unternehmen einfach zu bedienende Software und Dienstleistungen für die Bereiche Lohnbuchhaltung, Personalwesen und Finanzen anbietet. Im Jahr 2017 ist Sage das zweitgrößte Technologieunternehmen Großbritanniens, der drittgrößte Anbieter von Enterprise Resource Planning Software weltweit und der größte Anbieter für kleine Unternehmen - mit über 6 Millionen Kunden weltweit.

Situation 

Vor der Zusammenarbeit mit Secure Code Warrior begann Sage vor etwa 10 Jahren mit dem Aufbau seines Security Champion Network. Trotz des robusten Netzwerks sicherheitsorientierter Entwickler waren die Schulungen sporadisch und nicht auf die Risikominderung ausgerichtet. 

Sage erkannte, dass es wichtig war, sich Zeit für den Aufbau von Beziehungen zu nehmen und die Sicherheit über einen bestimmten Zeitraum mit einem flexiblen Ansatz zu verankern. Das Programm von Sage verknüpfte seine Ziele mit der Risikominderung und den materiellen Auswirkungen dieses Programms. Bei der Erprobung des Programms in bestimmten Geschäftsbereichen konzentrierte man sich auf die Messung der Risikominderung und die Rückmeldung an das Unternehmen, um die Zustimmung der Entwickler und der Führungskräfte zu gewinnen. 

Aktion

Mads Howard, People-Centered Security Lead bei Sage, arbeitete mit Entwicklern zusammen, um die Personas von Security Champions zu verstehen. Sie traf sich mit Entwicklern in jeder Geschäftseinheit und führte Interviews mit ihnen durch, um zu verstehen, was sie motiviert, wie sie gerne lernen und welche Einschränkungen sie bei ihrer Arbeit sehen. Sie und ihr Team bemühten sich um den Aufbau von Beziehungen zu den Entwicklern und ihren Teamleitern und betonten, wie wichtig es ist, in ihrem Ansatz flexibel zu sein.

Mads legt Wert auf einen beziehungsorientierten Ansatz,

"Wir haben viel Zeit damit verbracht, Beziehungen zu den Leitern der Entwicklungsteams, den Leitern der technischen Teams und den Produktmanagern aufzubauen - den Leuten, die die Zeit kontrollieren, die während der Sprint-Zyklen für die Ausbildung aufgewendet wird."

Laut Mads ging es auch darum, das Netz der Sicherheitsbeauftragten zu erweitern,

"Das Netzwerk der Sicherheitsbeauftragten wurde als eine Schlüsselkontrolle dieses Programms angesehen. Damit die Produkte dieses Programm durchlaufen konnten, mussten wir die Rolle eines Sicherheitsbeauftragten wirklich ernst nehmen und ihm eine solide Sicherheitsschulung zukommen lassen." 

Das Ziel des Global Security Teams bei Sage war es, ein Sicherheitskontrollprogramm zu implementieren, das die Lernbedürfnisse von Entwicklern in einer komplexen Technologieumgebung berücksichtigt, und einen Partner zu wählen, der mit den vorhandenen Sicherheitswerkzeugen zusammenarbeitet, um das Schwachstellenmanagement zu unterstützen. 

Es war wichtig, dass die Ausbildung als ein wichtiger Aspekt eines ausgereiften Sicherheitskontrollprogramms angesehen wurde. Sie konzentrierten sich auf die Messung der Risikominderung durch: 

• Verbesserung der Risikobewertung
• Schwachstellen Alter Verringerung des Rückstands bei den Schwachstellen
• Auflösung Zeit
• Keine geschlossenen Schwachstellen vs. offene Schwachstellen
• Anzahl der Probleme pro Zeile des von Sage geschriebenen Codes (nicht von Dritten)

Für Mads,

"Die nächste Phase für Sage als Unternehmen besteht darin, zu zeigen, dass die Fortbildung durch ein sicheres Kodierungsprogramm, das in die Arbeitsabläufe von Entwicklern eingebettet ist, zu einer messbaren Risikominderung führt."

Ergebnisse

Mads betonte, wie wichtig die Partnerschaft und die Beratung durch Secure Code Warrior für sie und ihr Team waren,

"Ich würde ehrlich sagen, dass wir ohne die Unterstützung von Secure Code Warrior nicht in der Lage gewesen wären, so weit zu kommen und eine Art Programm aufzubauen, das diesen Reifegrad in Bezug auf verschiedene Schichten oder Entwicklerteams über verschiedene Technologien hinweg hat." 

Nachdem Mads und ihr Team ihre Interviews abgeschlossen und die Zustimmung der Entwickler gewonnen hatten, begann sie mit der Implementierung von Secure Code Warrior als Teil eines umfassenderen Sicherheitskulturprogramms. 

Das Ergebnis, so Mads, ist,

"Sage hat jetzt mehr als 200 Sicherheitschampions im Programm, und wenn ein Sicherheitschampion 3,5 Stunden pro Woche (oder 10 % seiner Zeit) dem Aufbau von Fähigkeiten widmet, kann er sich für ein Programm zur sicheren Programmierung einsetzen, er kann sich für kontinuierliche Schulungen einsetzen, und er kann sich für den Wert einsetzen, den es ihm bringt." 

Mit der Zustimmung der Führungskräfte und messbaren Zielen für die Risikominderung konnte Mads den Erfolg nicht nur anhand der Anzahl der Mitarbeiter auf einer Plattform und der gespielten Stunden messen, sondern auch anhand der Zeit für die Behebung von Schwachstellen, des Alters der Schwachstellen und eines Vergleichs mit den neuen Funktionen, die für die Kunden entwickelt wurden, um einen ganzheitlichen Blick auf die Reduzierung von Schwachstellen zu erhalten. Für ein Team waren die Auswirkungen enorm - die durchschnittliche Zeit zur Behebung einer Schwachstelle konnte um 82 % reduziert werden. 

Was jedoch noch wichtiger sei, fügte Howard hinzu, sei das nicht quantifizierbare - das Engagement, der Einsatz und die Bereitschaft der Teams, sich an dem Programm zu beteiligen.

Wichtigste Erkenntnisse

Die Erfahrung von Sage unterstreicht die Relevanz gut geplanter und durchgeführter Sicherheitsschulungen und die Bedeutung eines flexiblen, integrierten Ansatzes - eine Lektion, die sich für jedes Unternehmen lohnt, das ein robustes, sicheres Kodierungsprogramm anstrebt. Laut Mads ist es wichtig, daran zu denken, dass die Zusammenarbeit mit den Entwicklern und nicht gegen sie der Schlüssel zur Implementierung eines erfolgreichen Sicherheitskontrollprogramms und zur Verankerung der Sicherheit in der Unternehmenskultur ist. 

• Die Schaffung einer Sicherheitskultur geschieht nicht über Nacht. Es ist wichtig, sich Zeit zu nehmen, um Beziehungen aufzubauen und die Sicherheit über einen längeren Zeitraum zu verankern, und dafür Ressourcen bereitzustellen. 
• Verknüpfen Sie alles mit der Risikominderung und konzentrieren Sie sich auf die materiellen Auswirkungen eines Programms für sichere Kodierung.
• Konzentrieren Sie sich darauf, wie Sie diese Risikoreduzierung messen können, um sie an das Unternehmen weiterzugeben, damit das Programm sowohl von den Entwicklern als auch von der Unternehmensleitung als wirkungsvoll und erfolgreich angesehen wird. 

Für Entwickler, die sich für die Sicherheit einsetzen wollen, haben sie und ihr Team auch diesen Ratschlag: 

• Bauen Sie sich ein Netzwerk von Menschen auf, die sich für Sicherheit interessieren, und nehmen Sie an Konferenzen und Vorträgen teil. Verbringen Sie Zeit damit, sich über die Themen zu informieren, die Sie interessieren. 
• Denken Sie daran, dass sich die Kultur eines Unternehmens nicht von heute auf morgen ändert, sondern dass es Zeit braucht, sie zu entwickeln und zu reifen. 

‍

Video-Abschrift

Die traditionelle Ausbildung in sicherem Code bringt Ihre Entwickler zum Gähnen. Oder?

Mit dem agilen Lernansatz von Secure Code Warriors lernen Entwickler schnell und in kurzen, hochrelevanten Mikroblöcken - just in time.

Coding Labs, unsere simulierte IDE-Lernerfahrung, verändert das Spiel Mit Coding Labs lernen Ihre Entwickler in einer vollständig interaktiven IDE-Umgebung, die im Browser läuft, durch praktisches Tun.

Entwickler schreiben Code und beheben Schwachstellen in der realen Welt.

In den Coding Labs erhalten sie automatisch kontextbezogenes Feedback in Echtzeit, das sie benötigen. Dieser praktische Lernansatz innerhalb der simulierten IDE hält sie bei der Stange und ist viel relevanter für ihre tägliche Arbeit. Das Ergebnis sind messbare Produktivitätssteigerungen in Bezug auf die Verringerung von Risiken, die Vermeidung kostspieliger Nacharbeiten und die schnellere Behebung von Schwachstellen.

Coding Labs unterscheiden sich deutlich von anderen Optionen für die Sicherheitsausbildung. Die Entwickler müssen keine neuen virtuellen Maschinen aufsetzen.

Es bietet eine praxisnahe Ausbildung mit der Benutzeroberfläche, die Entwickler kennen und lieben.

Es bringt die Entwickler mit vorgeschlagenen Codeschnipseln und Schritt-für-Schritt-Antworten weiter, die auf die Fehler des Entwicklers zugeschnitten sind.

Und es erspart den Entwicklern ineffektive Schulungen und auf die Einhaltung von Vorschriften ausgerichtete Maßnahmen. Aus diesem Grund verzeichnen die Kunden von secure code warrior zwei- bis dreifach messbare Produktivitätsgewinne in Bezug auf die Reduzierung von Risiken, die Vermeidung kostspieliger Nacharbeiten und die schnellere Behebung von Schwachstellen.

Buchen Sie noch heute eine Demo, um Coding Labs in Aktion zu erleben.

‍

Die Einhaltung von Vorschriften ist eine Folge guter Sicherheit, nicht umgekehrt. Wenn die Entwickler aktiv lernen und die Konzepte bei ihrer täglichen Arbeit anwenden, wird die Sicherheit in der Unternehmenskultur ganzheitlich wachsen.

Erfahren Sie, wie Netskope die Flexibilität der Inhalte von Secure Code Warriorund den interaktiven, praxisnahen Lernansatz nutzte, um einen programmatischen Ansatz für entwicklergesteuerte Sicherheit zu schaffen und gleichzeitig die Compliance-Anforderungen der Branche zu erfüllen.

Zum Auftakt des Monats der Cybersicherheit behandelt dieses Webinar folgende Themen:

• Die wichtigsten Geschäftsfaktoren von Netskope und wie sie einen Business Case für SCW und agiles Secure Code Learning entwickelt haben
• Welche Maßnahmen wurden ergriffen, um das Programm auf den Weg zu bringen, und welche Ziele wurden damit verfolgt?
• Wie man mit Entwicklern zusammenarbeitet und ihr Engagement als Erfolgsfaktor misst
• Wie das Warrior-Programm von Netskope die Teilnahme an der SCW-Ausbildung innerhalb von zwei Jahren verdoppelte