Secure Code Warrior provides one of the industry’s most comprehensive secure coding and AI security training catalogs, designed to help developers build safer software across modern development environments.

The SCW Learning Content Guide outlines the breadth and depth of training available across the Secure Code Warrior platform, including secure coding vulnerabilities, AI security topics, programming languages, frameworks, and role-based learning paths.

Inside the guide, you’ll find detailed coverage of training content mapped across common vulnerabilities, developer roles, and the technologies used in modern software development.

Download the guide to explore the full secure coding training catalog and discover how Secure Code Warrior helps organizations build lasting secure coding capability across engineering teams.

Möchten Sie die OWASP Top 10 dominieren? Laden Sie den No-BS-Leitfaden zum Schutz Ihrer Anwendungen vor den OWASP Top 10:2025 herunter.

Die zehn häufigsten Sicherheitslücken haben keine Chance gegen sicherheitsbewusste, qualifizierte Entwickler wie Sie. Dieses kostenlose E-Book ist Ihr ultimativer Leitfaden, um jeden der berüchtigten Einträge in den OWASP Top 10 2025 und die Funktionsweise der einzelnen Fehler zu verstehen. 

Sie werden sehen, warum sie so gefährlich sind und vor allem, wie Sie sie alle für immer aus Ihrer Software verbannen können. Als zusätzlichen Bonus enthält dieser Leitfaden Links zu geführten Video-Lernmodulen, die Sie bei der Entwicklung Ihrer Fähigkeiten unterstützen.

Sie werden:

• Erfahren Sie, wie Sie häufige Fehler wie Injektionsfehler und den häufigsten Fehler, die fehlerhafte Zugriffskontrolle, erkennen und beheben können.
• Gewinnen Sie neue Einblicke und praktische Kenntnisse zu brandneuen Themen wie Ausfällen in der Software-Lieferkette und dem Umgang mit außergewöhnlichen Bedingungen.
• Verstehen Sie, warum sicheres Programmieren und die Konzentration auf die Codequalität wirksame Schutzmaßnahmen sind, um das Risiko von Schwachstellen und Cyberangriffen zu verringern.

Sind Sie bereit für Ihre nächste Eroberung im Bereich der sicheren Programmierung?

Die Erstellung eines Lernplans für agile sichere Programmierung ist keine leichte Aufgabe, vor allem, wenn Compliance-Anforderungen und Freigabefristen eingehalten werden müssen. Aber es ist ein lohnendes Unterfangen, das Vorteile wie höhere Produktivität und geringere Risiken mit sich bringen wird. 

Die Sicherheitsreife von Entwicklungsteams wird anhand ihrer kollektiven Fähigkeit bewertet, die Sicherheit in allen Phasen des Softwareentwicklungszyklus nach links zu verlagern und einzubetten, so dass sicherheitskompetente Entwickler die erste Verteidigungslinie bei der Identifizierung und Behebung von Schwachstellen bilden können. 

In diesem Leitfaden gehen wir auf die Erfahrungen von drei Kunden ein, die Secure Code Warrior im Einsatz haben. Indem Sie von deren Erfahrungen lernen, können Sie beginnen, ein agiles Konzept für sicheres Codelernen für Ihr Unternehmen zusammenzustellen.

Entdecken:

• Welchen Herausforderungen sahen sich die Unternehmen in den verschiedenen Stadien der Sicherheit von Entwicklern gegenüber?
• Was waren die wichtigsten Erkenntnisse auf diesem Weg?
• Welche Ergebnisse können Sie in jeder Phase des Reifeprozesses der Sicherheit erwarten?

Situation

Bevor Workday agiles Lernen mit Secure Code Warrior implementierte, nutzte das Unternehmen courses , das aus Aufzeichnungen von PowerPoint-Präsentationen bestand, die die Top-10-Schwachstellen der OWASP mit einigen Pseudocode-Beispielen behandelten. Alex Uda, Programmmanager für Sicherheitsentwicklerschulungen, erkannte, dass dies seinem Team und dem Sicherheitsteam insgesamt nicht dabei half, ihre Ziele zur Verbesserung der allgemeinen Sicherheitslage von Workday zu erreichen. Da die Entwickler immer weniger an den Schulungen teilnahmen, beschlossen sie, ihr Feedback einzuholen, und stellten fest, dass es zwei Punkte gab, die immer wieder auftauchten:

1. Der Bedarf an mehr praktischer Ausbildung 
2. Der Bedarf an mehr sprachspezifischen Inhalten
   

Aktion 

Bei der Zusammenarbeit mit den Entwicklern haben Alex und sein Team zwei Hauptprioritäten identifiziert, um die Zustimmung der Entwickler zu gewinnen und ein ansprechendes, erfolgreiches Lernprogramm für sicheren Code zu schaffen.

Klarheit und Einfachheit 

Die meisten Entwickler kommen nicht mit Sicherheitswissen zu ihrer Arbeit. Alles, was frustrierend oder zeitaufwändig ist, führt dazu, dass die Entwickler zu Workarounds und Hacks greifen. Was Workday an SCW bemerkte, war, dass es den Entwicklern ermöglichte, ein klares Gefühl für den Prozess zu bekommen, ihn sich zu eigen zu machen und ihn in ihre Arbeitsabläufe zu integrieren.

Handlungsfähigkeit und Wert 

Entwickler wollen in erster Linie in der Lage sein, etwas zu tun, das sich auf die Codebasis/den Lebenszyklus auswirkt, und zwar schnell. Um dies zu tun, müssen die Entwickler darüber informiert werden, wie sie dies tun können. Wenn Sie wollen, dass sich ein Entwickler für etwas wie Sicherheit interessiert, müssen Sie den Wert dieser Themen hervorheben.

Bei der Strukturierung des Programms sammelten Alex und sein Team zunächst das Feedback einer Pilotgruppe von Sicherheitsbeauftragten zur Plattform und arbeiteten mit ihrem Customer Success Manager an der Umsetzung ihrer Vorschläge. Alex und das Team untersuchten dann ihre SAST-Tools und verschiedene Metriken zur Anzahl der Vorfälle und Sicherheitsereignisse, um die größten Risiken in ihrer aktuellen Umgebung und die Entwicklungen in der Branche zu bewerten. Sie konzentrierten sich zunächst auf die OWASP Top 10 und die häufigsten, risikoreichen Schwachstellen bei Workday
‍

"Indem wir den Entwicklern die Möglichkeit gaben, zu lernen und zu agieren, hat der SCW es uns ermöglicht, die Sicherheit unserer Software aktiv zu verbessern. Es geht nicht nur um das Schreiben von Code, sondern auch um Wachstumschancen und Karrieremöglichkeiten. Die Unterstützung des Sicherheitsprogramms durch Workday besteht darin, dass es sich um einen Bereich handelt, in dem das gesamte Unternehmen zusammenarbeitet, so dass den Entwicklern diese Zeit zum Lernen und Entwickeln zur Verfügung steht. Wenn man sich zwei Stunden pro Woche Zeit nimmt, um über einen bestimmten Zeitraum etwas zu lernen, hilft das, das Muskelgedächtnis mit Beständigkeit aufzubauen."
‍

Ergebnisse

Traditionell ist es einfach, die Sicherheit am Ende des Entwicklungsprozesses zu sehen. Durch die Zusammenarbeit mit dem Sicherheitsteam sehen die Entwickler bei Workday die Sicherheit jetzt als eine wichtige Komponente des Entwicklungszyklus. Sie können Sicherheitsprobleme schnell und früher im SDLC angehen, was die größte Auswirkung dieses Programms war. In einem Team in Dublin konnten die Entwickler innerhalb von 18 Monaten die Zahl der Sicherheitsprobleme von 4662 - das sind durchschnittlich 31,08 pro Tag - auf 0 senken.

Alex beschrieb das Wachstum des Programms als "einen Schneeballeffekt, nachdem wir mit Top-of-Mind-Sicherheitsbeauftragten begonnen hatten. Als wir das Programm und seine Vorteile bei den Führungskräften bekannt machten und unsere Mitgliederzahl weiter steigerten, erlebten wir ein fast natürliches Wachstum aufgrund von Mundpropaganda. Was die Schulung betrifft, so ist es unser Ziel, unseren Entwicklern die notwendigen Fähigkeiten zu vermitteln, um Code sicher zu entwickeln. Dies ist besonders wichtig, da Workday weiter wächst."

Die wichtigsten Erkenntnisse

Alex: "Um die Sicherheit erfolgreich zu skalieren, ist es unerlässlich, dass unsere Entwickler ein Sicherheitsdenken haben, das ihnen hilft, Sicherheitsrisiken in der Entwurfsphase ihrer Softwareentwicklung zu erkennen. Dies passt zu unserer "Shift Left"-Initiative, die unsere Entwickler befähigen soll, Zeit, Geld und Nerven zu sparen. Je besser wir beim Erlernen von sicherem Code vorgehen, desto weniger Schwachstellen finden wir in unseren Scans und Pentest-Ergebnissen."

Für Entwickler ist es wichtig, beim Lernen über Sicherheit Spaß zu haben .
SCW zeigt, wie aufregend das sein kann. Wenn Sie sich mit dem Thema Sicherheit befassen, sollten Sie sich voll und ganz darauf einlassen. Betrachten Sie es als Teil Ihres Entwicklungsprozesses und als Teil Ihrer beruflichen Entwicklung.

‍Ermutigen SieEntwickler, sich an das Team zu wenden, wenn sie neugierig auf die Sicherheit sind
Führen Sie ein Gespräch und beginnen Sie die Zusammenarbeit.‍

Sicherheit als Blackbox oder als Zusatz zu Ihrem Projekt ist archaisch und erweist Ihrer Software letztendlich einen schlechten Dienst.
Wenn Sie Sicherheit als Teil des Entwicklungsprozesses einbeziehen - so wie wir TDD, Agile und Linting einbeziehen - verbessern Sie den Ablauf und erhöhen die Qualität der Software, die Sie Ihren Kunden liefern.

‍

Der Cyber Resilience Act 2024 (CRA) ist eine EU-Verordnung, die verbindliche Cybersicherheitsanforderungen für die meisten Produkte mit einer digitalen Komponente einführt, die in der EU verkauft werden. Der CRA verbessert die Cybersicherheitsstandards solcher Produkte, was wiederum Hersteller, Importeure, Händler und Einzelhändler dazu verpflichtet, die Cybersicherheit während des gesamten Lebenszyklus dieser Produkte zu gewährleisten. Secure Code Warrior die CRA-Bereitschaft mit CRA-konformen Quests und konzeptionellen Lernsammlungen, die Entwicklungsteams dabei helfen, die Secure by Design-, SDLC- und sicheren Codierungsfähigkeiten aufzubauen, die mit den sicheren Entwicklungsprinzipien des CRA übereinstimmen.

Das Risikomanagement für Entwickler ist ein ganzheitlicher und proaktiver Ansatz für die Anwendungssicherheit, der sich auf die Mitwirkenden am Code konzentriert und nicht auf die Bits und Bytes der Anwendungsschicht selbst.

Messen, verwalten und mindern Sie proaktiv die Sicherheitsrisiken von Entwicklern während des gesamten SDLC, um die Sicherheitslage zu verbessern, Software schneller zu veröffentlichen und Schwachstellen um 53 % oder mehr zu reduzieren.

Die Philosophie hinter dem Risikomanagement für Entwickler ist, dass die Vorteile und die Auswirkungen von entwicklergesteuerten Initiativen für sicheren Code exponentiell zunehmen, wenn Code-Mitwirkende geschult werden und die Governance für sichere Codierungsfähigkeiten programmatisch angewendet wird.

OpenText Application Security, früher bekannt als Fortify, und Secure Code Warrior haben sich zusammengeschlossen, um die Anwendungssicherheit zu verbessern und Entwicklern die Möglichkeit zu geben, zu Sicherheitsexperten zu werden. Die Integration ermöglicht gezielte Aufklärung über Schwachstellen, schnellere Behebung und praxisnahe Schulungen, um Entwicklern von Anfang an das Schreiben sicheren Codes zu ermöglichen.

Diese Zusammenarbeit reduziert Sicherheitsrisiken, minimiert Kosten und vereinfacht die Einhaltung von Vorschriften, indem sie die Sicherheit in den Lebenszyklus der Softwareentwicklung einbettet und Unternehmen dabei hilft, das Vertrauen ihrer Kunden zu stärken und qualitativ hochwertigen Code schneller zu liefern.

Lesen Sie mehr über die Partnerschaft in unserem One Pager.

Wichtigste Erkenntnisse

Die Kamer van Koophandel (KVK) hat ein modernes, entwicklerorientiertes Sicherheitsprogramm aufgebaut, das als Vorbild für die Branche gilt. In Zusammenarbeit mit Secure Code Warrior hat die KVK sichere Codierungspraktiken in die täglichen Entwicklungsabläufe integriert, ein strukturiertes Zertifizierungsprogramm eingeführt, das von der gesamten Organisation angenommen wurde, und eine messbare Risikominderung erreicht, die die Wirksamkeit eines proaktiven, entwicklerorientierten Sicherheitsansatzes demonstriert. Zu den Höhepunkten gehören:

„Wir hatten bereits eine starke Sicherheitsgrundlage, wollten aber noch einen Schritt weiter gehen und Sicherheit für jeden Entwickler zur Selbstverständlichkeit machen. Deshalb sind wir eine Partnerschaft mit Secure Code Warrior eingegangen Secure Code Warrior haben die Weiterbildung zum Eckpfeiler unserer Strategie gemacht, damit unsere Teams von Anfang an sicher und selbstbewusst sichere Software entwickeln können.“

– Sebastiaan Rijnbout, Produktverantwortlicher für Entwicklungsdienstleistungen

Die Herausforderung

Entwicklerorientierte Sicherheitsmentalität schaffen

Die niederländische Handelskammer KVK spielt eine zentrale Rolle bei der Unterstützung von Unternehmern in den Niederlanden. Als offizielle Stelle, die für die Registrierung von Unternehmen, juristischen Personen und Organisationen mit wirtschaftlicher Tätigkeit zuständig ist, fördert die KVK die Transparenz und stärkt die Integrität des wirtschaftlichen Ökosystems. Über die Registrierung hinaus bietet die KVK wertvolle Informationen und Beratung zu wichtigen unternehmerischen Themen, von rechtlichen und regulatorischen Leitlinien bis hin zu Einblicken in die Finanzierung, aktuelle Entwicklungen und Cybersicherheit. Durch die Bereitstellung zuverlässiger Daten und die Zusammenarbeit mit nationalen und regionalen Wirtschaftsakteuren trägt die KVK dazu bei, ein sicheres und gut informiertes Umfeld zu schaffen, in dem Unternehmer erfolgreich sein können. Als die KVK begann, die Anwendungssicherheit weiter zu verbessern, hatte sie bereits grundlegende Sicherheitsmaßnahmen eingeführt, darunter Penetrationstests. Diese Maßnahmen lieferten zwar wertvolle Erkenntnisse, aber die KVK sah eine Möglichkeit, die Sicherheit bereits in einer früheren Phase des Entwicklungszyklus zu skalieren und Entwicklern die Möglichkeit zu geben, selbst Verantwortung für die Risikominderung zu übernehmen.

Im Jahr 2022 entschied sich KVK für Secure Code Warrior startete seine erste Schulungsinitiative zum Thema sicheres Codieren mit einem entwicklerorientierten Ansatz. Was als Basisinitiative zur Einbindung von Entwicklern begann, entwickelte sich schnell zu einem funktionsübergreifenden Programm, das von der Unternehmensleitung und dem CISO-Büro unterstützt wurde und sicheres Entwickeln von einem Wunschziel zu einem Unternehmensstandard machte.

Die Lösung

Eine Kultur aufbauen, nicht nur ein Programm

Mit Unterstützung des CISO Secure Code Warrior das Team für sichere Softwareentwicklungsprozesse von KVK in Zusammenarbeit mit Secure Code Warrior eine unternehmensweite Strategie definiert und ein obligatorisches, rollenbasiertes Zertifizierungsprogramm entwickelt, das folgende Ziele verfolgt:

KVK nutzte die Flexibilität der Plattform Secure Code Warrior, um ein Zertifizierungsprogramm zu entwickeln, das auf die besonderen Anforderungen des Unternehmens zugeschnitten ist. Durch die Zuordnung von Schulungsprogrammen zu bestimmten Rollen beginnen neue Mitarbeiter mit einer OWASP Top 10-Sensibilisierungsschulung, während erfahrene Ingenieure sich mit fortgeschrittenen, szenariobasierten Übungen befassen, die auf reale Arbeitsabläufe abgestimmt sind. Entwickler auf Champion-Niveau betreuen ihre Kollegen, fördern den Wissensaustausch und tragen dazu bei, das Sicherheits-Know-how teamübergreifend zu erweitern. Das Programm von KVK umfasst eine jährliche Rezertifizierung, um sicherzustellen, dass die Fähigkeiten auf dem neuesten Stand bleiben. Die vollständige Umsetzung ist im Gange, da das Unternehmen seine Abdeckung weiter ausbaut und sich an neue Risiken wie KI-bedingte Schwachstellen und neue Bedrohungen anpasst.

„Die Integration von Zertifizierungen in unseren Entwicklungsprozess war ein Wendepunkt“, sagte Sebastiaan. „Dadurch wurde jedem Entwickler klar, dass Sicherheit eine gemeinsame Priorität und ein selbstverständlicher Bestandteil unserer Softwareentwicklung ist. Mit Secure Code Warrior ist Lernen kein einmaliges Ereignis, sondern ein kontinuierlicher, kontextbezogener Prozess, der nahtlos in unsere tägliche Entwicklungskultur eingebunden ist.“

Das Ergebnis: Die Schulungen wurden als relevant, erreichbar und direkt mit der täglichen Arbeit der Entwickler verbunden empfunden. Bis Anfang 2024 hatten 90 % der KVK-Entwickler die Zertifizierung der Stufe „Foundation“ erreicht – ein Meilenstein, der sowohl die Strategie als auch den kulturellen Wandel hin zu einer von Entwicklern geleiteten Sicherheit bestätigte.

Die Ergebnisse

Echte Wirkung, messbarer Fortschritt

Die Investition von KVK in sichere Entwicklung mit Secure Code Warrior zu beeindruckenden Ergebnissen geführt:

KVK nutzt den SCW Trust Score®, einen Maßstab, der das Engagement eines Unternehmens für sichere Codierungspraktiken auf der Grundlage wichtiger Sicherheitskennzahlen misst. Im Laufe von sechs Monaten stieg der Trust Score von KVK deutlich an, wodurch das Unternehmen zu den besten 12 % der Unternehmen weltweit zählt.

„Der SCW Trust Score gibt uns einen klaren, datengestützten Überblick darüber, wo unsere Risiken liegen und wie wir unsere Schulungen auf die wichtigsten Bereiche konzentrieren können“, erklärte Sebastiaan. „Er ist nicht nur ein Maßstab, sondern eine Roadmap, mit der wir Fortschritte nachweisen und den tatsächlichen geschäftlichen Nutzen einer sicheren Entwicklung demonstrieren können.“

KVK hat in Zusammenarbeit mit Secure Code Warrior einen neuen Standard für entwicklerorientierte Sicherheit gesetzt. Durch die Kombination von starker Führung, einer klaren Strategie und messbaren Ergebnissen haben sie die sichere Entwicklung zu einer zentralen Geschäftsfähigkeit gemacht, die die Compliance-Anforderungen erfüllt und als Vorbild für die Branche dient. Da die Berichterstattung von SCW den Zertifizierungsstandards ISO 27001/27002 entspricht, kann KVK die Wirksamkeit seines Programms auch bei Audits validieren und damit zeigen, dass sichere Entwicklung nicht nur empfohlen, sondern erforderlich ist.

KVK plant, sein Zertifizierungsprogramm über den Bereich Engineering hinaus auf QA-Tester, DevOps und Low-Code-Entwickler auszuweiten, um zu unterstreichen, dass Sicherheit eine gemeinsame Verantwortung des gesamten Unternehmens ist. Außerdem plant das Unternehmen, die auf KI/LLM fokussierten Inhalte von SCW einzuführen, um Entwicklern neben Tools wie GitHub Copilot zu helfen, sicher zu programmieren, und arbeitet mit SCW Professional Services zusammen, um die Einführung von Trust Agent zu optimieren. Diese Bemühungen zeigen, was möglich ist, wenn sicheres Programmieren zu einer gemeinsamen Verantwortung wird, nicht nur für Entwickler, sondern für das gesamte Unternehmen.

„Unsere Partnerschaft mit Secure Code Warrior reibungslos und produktiv“, sagte Sebastiaan. „Sie haben uns bei der Umsetzung und Verbesserung unseres Schulungsprogramms unterstützt, was zu einer messbaren Risikominderung und einer stärkeren Kultur der sicheren Entwicklung geführt hat.“

Mit Secure Code Warrior hat KVK eine solide Grundlage für sichere Entwicklung geschaffen, und das ist erst der Anfang.