Vor zwei Jahren hat die Cybersecurity & Infrastructure Security Agency (CISA) der US-Regierung ihre umfassenden Secure by Design-Richtlinien veröffentlicht und damit einen Wendepunkt für Softwarehersteller markiert. Zum ersten Mal gab es sichtbare, hochrangige Unterstützung für die Anhebung der Standards für Softwarequalität und -sicherheit, mit einem Vorstoß hin zu einer Verantwortlichkeit des Anbieters - im Gegensatz zum Endbenutzer - für die Gewährleistung von Code, der frei von Sicherheitslücken ist.
Ein Konsens über die praktische Umsetzung dieser Grundsätze auf Unternehmensebene konnte jedoch nicht erzielt werden. Unter den Sicherheitsexperten scheint es keinen Konsens darüber zu geben, was "Secure by Design" ausmacht, geschweige denn einen Standardpfad, um dies zu erreichen. Secure Code Warrior befragte Sicherheitsexperten in Unternehmen, die sich mit der Entwicklung von Software befassen, zu ihren aktuellen Ansätzen für Secure by Design-Prinzipien, einschließlich der Frage, wie diese in ihre aktuelle Sicherheitslage und den Softwareentwicklungszyklus (SDLC) implementiert werden. Dabei wurde deutlich, dass es weder einen allgemein akzeptierten Standard für die Umsetzung der CISA-Richtlinien noch aktive Benchmarks zur Ermittlung einer erfolgreichen Einführung gibt. Hier muss schnell Abhilfe geschaffen werden, wenn wir als Branche die Vorteile einer erhöhten Sicherheitsverantwortung und Softwarequalität nutzen wollen.
In diesem Forschungspapier werden die Mitbegründer von Secure Code Warrior , Pieter Danhieux und Dr. Matias Madou, Ph.D., zusammen mit den Experten Chris Inglis, ehemaliger US National Cyber Director (jetzt strategischer Berater der Paladin Capital Group), und Devin Lynch, Senior Director, Paladin Global Institute, die wichtigsten Ergebnisse aus mehr als zwanzig ausführlichen Interviews mit Sicherheitsverantwortlichen in Unternehmen, darunter CISOs, ein VP für Anwendungssicherheit und Software-Sicherheitsexperten, vorstellen:
- Einblicke in die allgemeinen Herausforderungen von Sicherheitsprogrammen in Unternehmen;
- Die Rolle von Secure by Design-Initiativen, einschließlich der Frage, wie diese aktiviert und auf die Teams verteilt werden;
- Die Rolle der KI in der Softwareentwicklung und moderne Bedrohungsmodellierung;
- Interpretationen von Best Practices und die Rolle, die Präzisionsdaten und Benchmarking bei der branchenweiten Ausrichtung auf eine tragfähige Secure by Design-Strategie spielen können.