Jeder Entwickler sollte seinem potenziellen Arbeitgeber diese millionenschwere Frage stellen.
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig. In der agilen Welt gewinnt sie noch mehr an Bedeutung, da sie sich direkt auf Ihren Erfolg im Bereich Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber auswirkt.
Das ist die Millionenfrage. Tatsächlich geht es hier um Millionen von Dollar!
Sind Sie bereit, mir dabei zu helfen, sicher zu programmieren?
Derzeit belaufen sich die durchschnittlichen Kosten für Datenlecks auf 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr Opfer eines Hackerangriffs wird, liegt bei einem Viertel. Angesichts dieser Tatsachen bin ich wie viele andere frustriert, dass Entwickler nicht mit einem Hochschulabschluss ausgestattet sind und Fähigkeiten in den Bereichen sicheres Codieren und Sicherheit nicht in ihrer DNA verankert sind.
Warum? Softwareentwicklung ist nach wie vor ein relativ junger Berufszweig. Der Schwerpunkt lag bisher darauf, Menschen beizubringen, wie man schnell eleganten und funktionalen Code schreibt, während der Code-Sicherheit nur begrenzte Aufmerksamkeit geschenkt wurde. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten verändern, verstärkt diese Lücken in den Schlüsselkompetenzen nur noch.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen davon ausgehen, dass Entwickler sichere Programmierkenntnisse während ihrer Arbeit erlernen müssen. In manchen Berufen kann man durch Fehler lernen, in anderen ist dies jedoch keine Option. Das Gleiche gilt für die Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Sicherheitsschulung unserer Entwickler noch Nachholbedarf haben. Die meisten schwerwiegenden Sicherheitslücken weltweit sind auf Programmierfehler zurückzuführen, die Hackern Zugriff auf Computernetzwerke verschaffen und ihnen so ermöglichen, auf wertvolle Daten zuzugreifen und diese zu sammeln. Der Verizon Data Breach Investigations Report (DBIR) 2017zeigt, dass 30 % aller Sicherheitslücken direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung wird seit 2013 in allen DBIR-Berichten bestätigt.
Die im August 2017 veröffentlichte globale DevSecOps-Kompetenzumfrage 2017 bestätigte, was wir bereits wussten: Obwohl 65 % der DevOps-Fachleute der Meinung sind, dass es für den Einstieg in die IT-Branche sehr wichtig ist, über Kenntnisse im Bereich DevSecOps zu verfügen, sind 70 % der Meinung, dass sie nicht über die erforderliche Ausbildung verfügen, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 % der befragten Personalverantwortlichen gaben an, dass es am schwierigsten sei, vielseitige High-End-Entwickler mit ausreichenden Kenntnissen im Bereich Sicherheitstests zu finden. 70 % der Befragten gaben an, dass ihre Sicherheitsausbildung nicht ausreiche, um ihre derzeitige Position auszufüllen. Tatsächlich gaben weniger als 4 % an, dass sie sich gut vorbereitet fühlen.
Als ich fast zehn Jahre lang mit mehreren professionellen White-Hat-Hacker-Teams zusammengearbeitet habe, habe ich dies mit eigenen Augen gesehen. Leider haben wir oft große Unternehmen, Start-ups und Regierungsbehörden gehackt und dabei immer wieder dieselben Schwachstellen entdeckt.
Deshalb müssen Entwickler bei ihrer Einstellung lautstark darauf hinweisen. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie sich überlegen, bei welchem Unternehmen Sie arbeiten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie die Schulung durchgeführt werden soll. Wird sie praxisorientiert und interaktiv sein? Eine Entwicklersicherheitsschulung zu Schwachstellen, die mit Folien, Videos, anklickbaren Animationen oder abstrakten Diskussionen durchgeführt wird, wird Ihnen wahrscheinlich nicht direkt beim Programmieren helfen. Kann sichergestellt werden, dass Sie stets über die neuesten Schwachstellen informiert sind? Gibt es eine Sicherheitsgemeinschaft oder -community, von der Sie lernen können? Gibt es Sicherheitsexperten, an die Sie sich wenden können, wenn Sie Hilfe benötigen?
Das Engagement für sichere Programmierkenntnisse erfordert kontinuierliches Lernen durch praktische Herausforderungen in bestimmten Programmierumgebungen und die Auseinandersetzung mit verschiedenen Schwachstellen in unterschiedlichen Szenarien. SQL-Injection lässt sich nicht anhand eines einzigen Beispiels erlernen. Sie müssen sich mit mehreren Beispielen unterschiedlicher Art befassen, um diese gefährlichen Programmiermuster erkennen zu lernen.
Einer unserer Kunden hat seine Entwickler dazu aufgefordert, innerhalb von zwei Monaten täglich eine Herausforderung (5 Minuten) zu absolvieren. Vor und nach der Schulung wurden ihre Fähigkeiten getestet, und es wurde festgestellt, dass sich die Fähigkeiten von Hunderten von Entwicklern im Bereich sicheres Programmieren um 60 % verbessert haben. Das bedeutet, dass weniger Ressourcen für die Erkennung und Behebung von Sicherheitslücken in späteren Phasen des Lebenszyklus aufgewendet werden müssen und langfristig erhebliche Kosten eingespart werden können. Das bedeutet, dass Hacker Ihren Code nicht dazu nutzen können, um die Daten Ihres Unternehmens zu kompromittieren.
Laut einer Studie von IDC gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass bis zu 7 Millionen Berufe Programmierkenntnisse erfordern und dass die Zahl der Arbeitsplätze im Bereich Programmierung durchschnittlich 12 % schneller wächst als der Markt insgesamt.
Es gibt viele Software-Jobs. Entscheiden Sie sich daher für einen Arbeitgeber, der sich für Ihre Sicherheit, die Sicherheit Ihrer Kunden und die eigene Sicherheit einsetzt. Wählen Sie ein Unternehmen, das in Sie investiert.
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig. In der agilen Welt gewinnt sie noch mehr an Bedeutung, da sie sich direkt auf Ihren Erfolg im Bereich Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber auswirkt.
Das ist die Millionenfrage. Tatsächlich geht es hier um Millionen von Dollar!
Sind Sie bereit, mir dabei zu helfen, sicher zu programmieren?
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig.
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig. In der agilen Welt gewinnt sie noch mehr an Bedeutung, da sie sich direkt auf Ihren Erfolg im Bereich Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber auswirkt.
Das ist die Millionenfrage. Tatsächlich geht es hier um Millionen von Dollar!
Sind Sie bereit, mir dabei zu helfen, sicher zu programmieren?
Derzeit belaufen sich die durchschnittlichen Kosten für Datenlecks auf 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr Opfer eines Hackerangriffs wird, liegt bei einem Viertel. Angesichts dieser Tatsachen bin ich wie viele andere frustriert, dass Entwickler nicht mit einem Hochschulabschluss ausgestattet sind und Fähigkeiten in den Bereichen sicheres Codieren und Sicherheit nicht in ihrer DNA verankert sind.
Warum? Softwareentwicklung ist nach wie vor ein relativ junger Berufszweig. Der Schwerpunkt lag bisher darauf, Menschen beizubringen, wie man schnell eleganten und funktionalen Code schreibt, während der Code-Sicherheit nur begrenzte Aufmerksamkeit geschenkt wurde. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten verändern, verstärkt diese Lücken in den Schlüsselkompetenzen nur noch.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen davon ausgehen, dass Entwickler sichere Programmierkenntnisse während ihrer Arbeit erlernen müssen. In manchen Berufen kann man durch Fehler lernen, in anderen ist dies jedoch keine Option. Das Gleiche gilt für die Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Sicherheitsschulung unserer Entwickler noch Nachholbedarf haben. Die meisten schwerwiegenden Sicherheitslücken weltweit sind auf Programmierfehler zurückzuführen, die Hackern Zugriff auf Computernetzwerke verschaffen und ihnen so ermöglichen, auf wertvolle Daten zuzugreifen und diese zu sammeln. Der Verizon Data Breach Investigations Report (DBIR) 2017zeigt, dass 30 % aller Sicherheitslücken direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung wird seit 2013 in allen DBIR-Berichten bestätigt.
Die im August 2017 veröffentlichte globale DevSecOps-Kompetenzumfrage 2017 bestätigte, was wir bereits wussten: Obwohl 65 % der DevOps-Fachleute der Meinung sind, dass es für den Einstieg in die IT-Branche sehr wichtig ist, über Kenntnisse im Bereich DevSecOps zu verfügen, sind 70 % der Meinung, dass sie nicht über die erforderliche Ausbildung verfügen, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 % der befragten Personalverantwortlichen gaben an, dass es am schwierigsten sei, vielseitige High-End-Entwickler mit ausreichenden Kenntnissen im Bereich Sicherheitstests zu finden. 70 % der Befragten gaben an, dass ihre Sicherheitsausbildung nicht ausreiche, um ihre derzeitige Position auszufüllen. Tatsächlich gaben weniger als 4 % an, dass sie sich gut vorbereitet fühlen.
Als ich fast zehn Jahre lang mit mehreren professionellen White-Hat-Hacker-Teams zusammengearbeitet habe, habe ich dies mit eigenen Augen gesehen. Leider haben wir oft große Unternehmen, Start-ups und Regierungsbehörden gehackt und dabei immer wieder dieselben Schwachstellen entdeckt.
Deshalb müssen Entwickler bei ihrer Einstellung lautstark darauf hinweisen. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie sich überlegen, bei welchem Unternehmen Sie arbeiten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie die Schulung durchgeführt werden soll. Wird sie praxisorientiert und interaktiv sein? Eine Entwicklersicherheitsschulung zu Schwachstellen, die mit Folien, Videos, anklickbaren Animationen oder abstrakten Diskussionen durchgeführt wird, wird Ihnen wahrscheinlich nicht direkt beim Programmieren helfen. Kann sichergestellt werden, dass Sie stets über die neuesten Schwachstellen informiert sind? Gibt es eine Sicherheitsgemeinschaft oder -community, von der Sie lernen können? Gibt es Sicherheitsexperten, an die Sie sich wenden können, wenn Sie Hilfe benötigen?
Das Engagement für sichere Programmierkenntnisse erfordert kontinuierliches Lernen durch praktische Herausforderungen in bestimmten Programmierumgebungen und die Auseinandersetzung mit verschiedenen Schwachstellen in unterschiedlichen Szenarien. SQL-Injection lässt sich nicht anhand eines einzigen Beispiels erlernen. Sie müssen sich mit mehreren Beispielen unterschiedlicher Art befassen, um diese gefährlichen Programmiermuster erkennen zu lernen.
Einer unserer Kunden hat seine Entwickler dazu aufgefordert, innerhalb von zwei Monaten täglich eine Herausforderung (5 Minuten) zu absolvieren. Vor und nach der Schulung wurden ihre Fähigkeiten getestet, und es wurde festgestellt, dass sich die Fähigkeiten von Hunderten von Entwicklern im Bereich sicheres Programmieren um 60 % verbessert haben. Das bedeutet, dass weniger Ressourcen für die Erkennung und Behebung von Sicherheitslücken in späteren Phasen des Lebenszyklus aufgewendet werden müssen und langfristig erhebliche Kosten eingespart werden können. Das bedeutet, dass Hacker Ihren Code nicht dazu nutzen können, um die Daten Ihres Unternehmens zu kompromittieren.
Laut einer Studie von IDC gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass bis zu 7 Millionen Berufe Programmierkenntnisse erfordern und dass die Zahl der Arbeitsplätze im Bereich Programmierung durchschnittlich 12 % schneller wächst als der Markt insgesamt.
Es gibt viele Software-Jobs. Entscheiden Sie sich daher für einen Arbeitgeber, der sich für Ihre Sicherheit, die Sicherheit Ihrer Kunden und die eigene Sicherheit einsetzt. Wählen Sie ein Unternehmen, das in Sie investiert.
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig. In der agilen Welt gewinnt sie noch mehr an Bedeutung, da sie sich direkt auf Ihren Erfolg im Bereich Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber auswirkt.
Das ist die Millionenfrage. Tatsächlich geht es hier um Millionen von Dollar!
Sind Sie bereit, mir dabei zu helfen, sicher zu programmieren?
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig. In der agilen Welt gewinnt sie noch mehr an Bedeutung, da sie sich direkt auf Ihren Erfolg im Bereich Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber auswirkt.
Das ist die Millionenfrage. Tatsächlich geht es hier um Millionen von Dollar!
Sind Sie bereit, mir dabei zu helfen, sicher zu programmieren?
Derzeit belaufen sich die durchschnittlichen Kosten für Datenlecks auf 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr Opfer eines Hackerangriffs wird, liegt bei einem Viertel. Angesichts dieser Tatsachen bin ich wie viele andere frustriert, dass Entwickler nicht mit einem Hochschulabschluss ausgestattet sind und Fähigkeiten in den Bereichen sicheres Codieren und Sicherheit nicht in ihrer DNA verankert sind.
Warum? Softwareentwicklung ist nach wie vor ein relativ junger Berufszweig. Der Schwerpunkt lag bisher darauf, Menschen beizubringen, wie man schnell eleganten und funktionalen Code schreibt, während der Code-Sicherheit nur begrenzte Aufmerksamkeit geschenkt wurde. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten verändern, verstärkt diese Lücken in den Schlüsselkompetenzen nur noch.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen davon ausgehen, dass Entwickler sichere Programmierkenntnisse während ihrer Arbeit erlernen müssen. In manchen Berufen kann man durch Fehler lernen, in anderen ist dies jedoch keine Option. Das Gleiche gilt für die Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Sicherheitsschulung unserer Entwickler noch Nachholbedarf haben. Die meisten schwerwiegenden Sicherheitslücken weltweit sind auf Programmierfehler zurückzuführen, die Hackern Zugriff auf Computernetzwerke verschaffen und ihnen so ermöglichen, auf wertvolle Daten zuzugreifen und diese zu sammeln. Der Verizon Data Breach Investigations Report (DBIR) 2017zeigt, dass 30 % aller Sicherheitslücken direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung wird seit 2013 in allen DBIR-Berichten bestätigt.
Die im August 2017 veröffentlichte globale DevSecOps-Kompetenzumfrage 2017 bestätigte, was wir bereits wussten: Obwohl 65 % der DevOps-Fachleute der Meinung sind, dass es für den Einstieg in die IT-Branche sehr wichtig ist, über Kenntnisse im Bereich DevSecOps zu verfügen, sind 70 % der Meinung, dass sie nicht über die erforderliche Ausbildung verfügen, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 % der befragten Personalverantwortlichen gaben an, dass es am schwierigsten sei, vielseitige High-End-Entwickler mit ausreichenden Kenntnissen im Bereich Sicherheitstests zu finden. 70 % der Befragten gaben an, dass ihre Sicherheitsausbildung nicht ausreiche, um ihre derzeitige Position auszufüllen. Tatsächlich gaben weniger als 4 % an, dass sie sich gut vorbereitet fühlen.
Als ich fast zehn Jahre lang mit mehreren professionellen White-Hat-Hacker-Teams zusammengearbeitet habe, habe ich dies mit eigenen Augen gesehen. Leider haben wir oft große Unternehmen, Start-ups und Regierungsbehörden gehackt und dabei immer wieder dieselben Schwachstellen entdeckt.
Deshalb müssen Entwickler bei ihrer Einstellung lautstark darauf hinweisen. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie sich überlegen, bei welchem Unternehmen Sie arbeiten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie die Schulung durchgeführt werden soll. Wird sie praxisorientiert und interaktiv sein? Eine Entwicklersicherheitsschulung zu Schwachstellen, die mit Folien, Videos, anklickbaren Animationen oder abstrakten Diskussionen durchgeführt wird, wird Ihnen wahrscheinlich nicht direkt beim Programmieren helfen. Kann sichergestellt werden, dass Sie stets über die neuesten Schwachstellen informiert sind? Gibt es eine Sicherheitsgemeinschaft oder -community, von der Sie lernen können? Gibt es Sicherheitsexperten, an die Sie sich wenden können, wenn Sie Hilfe benötigen?
Das Engagement für sichere Programmierkenntnisse erfordert kontinuierliches Lernen durch praktische Herausforderungen in bestimmten Programmierumgebungen und die Auseinandersetzung mit verschiedenen Schwachstellen in unterschiedlichen Szenarien. SQL-Injection lässt sich nicht anhand eines einzigen Beispiels erlernen. Sie müssen sich mit mehreren Beispielen unterschiedlicher Art befassen, um diese gefährlichen Programmiermuster erkennen zu lernen.
Einer unserer Kunden hat seine Entwickler dazu aufgefordert, innerhalb von zwei Monaten täglich eine Herausforderung (5 Minuten) zu absolvieren. Vor und nach der Schulung wurden ihre Fähigkeiten getestet, und es wurde festgestellt, dass sich die Fähigkeiten von Hunderten von Entwicklern im Bereich sicheres Programmieren um 60 % verbessert haben. Das bedeutet, dass weniger Ressourcen für die Erkennung und Behebung von Sicherheitslücken in späteren Phasen des Lebenszyklus aufgewendet werden müssen und langfristig erhebliche Kosten eingespart werden können. Das bedeutet, dass Hacker Ihren Code nicht dazu nutzen können, um die Daten Ihres Unternehmens zu kompromittieren.
Laut einer Studie von IDC gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass bis zu 7 Millionen Berufe Programmierkenntnisse erfordern und dass die Zahl der Arbeitsplätze im Bereich Programmierung durchschnittlich 12 % schneller wächst als der Markt insgesamt.
Es gibt viele Software-Jobs. Entscheiden Sie sich daher für einen Arbeitgeber, der sich für Ihre Sicherheit, die Sicherheit Ihrer Kunden und die eigene Sicherheit einsetzt. Wählen Sie ein Unternehmen, das in Sie investiert.
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig. In der agilen Welt gewinnt sie noch mehr an Bedeutung, da sie sich direkt auf Ihren Erfolg im Bereich Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber auswirkt.
Das ist die Millionenfrage. Tatsächlich geht es hier um Millionen von Dollar!
Sind Sie bereit, mir dabei zu helfen, sicher zu programmieren?
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenDemo buchen
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig. In der agilen Welt gewinnt sie noch mehr an Bedeutung, da sie sich direkt auf Ihren Erfolg im Bereich Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber auswirkt.
Das ist die Millionenfrage. Tatsächlich geht es hier um Millionen von Dollar!
Sind Sie bereit, mir dabei zu helfen, sicher zu programmieren?
Derzeit belaufen sich die durchschnittlichen Kosten für Datenlecks auf 3,6 Millionen US-Dollar. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr Opfer eines Hackerangriffs wird, liegt bei einem Viertel. Angesichts dieser Tatsachen bin ich wie viele andere frustriert, dass Entwickler nicht mit einem Hochschulabschluss ausgestattet sind und Fähigkeiten in den Bereichen sicheres Codieren und Sicherheit nicht in ihrer DNA verankert sind.
Warum? Softwareentwicklung ist nach wie vor ein relativ junger Berufszweig. Der Schwerpunkt lag bisher darauf, Menschen beizubringen, wie man schnell eleganten und funktionalen Code schreibt, während der Code-Sicherheit nur begrenzte Aufmerksamkeit geschenkt wurde. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten verändern, verstärkt diese Lücken in den Schlüsselkompetenzen nur noch.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen davon ausgehen, dass Entwickler sichere Programmierkenntnisse während ihrer Arbeit erlernen müssen. In manchen Berufen kann man durch Fehler lernen, in anderen ist dies jedoch keine Option. Das Gleiche gilt für die Cybersicherheit.
Die Fakten zeigen, dass wir auch bei der Sicherheitsschulung unserer Entwickler noch Nachholbedarf haben. Die meisten schwerwiegenden Sicherheitslücken weltweit sind auf Programmierfehler zurückzuführen, die Hackern Zugriff auf Computernetzwerke verschaffen und ihnen so ermöglichen, auf wertvolle Daten zuzugreifen und diese zu sammeln. Der Verizon Data Breach Investigations Report (DBIR) 2017zeigt, dass 30 % aller Sicherheitslücken direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung wird seit 2013 in allen DBIR-Berichten bestätigt.
Die im August 2017 veröffentlichte globale DevSecOps-Kompetenzumfrage 2017 bestätigte, was wir bereits wussten: Obwohl 65 % der DevOps-Fachleute der Meinung sind, dass es für den Einstieg in die IT-Branche sehr wichtig ist, über Kenntnisse im Bereich DevSecOps zu verfügen, sind 70 % der Meinung, dass sie nicht über die erforderliche Ausbildung verfügen, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 % der befragten Personalverantwortlichen gaben an, dass es am schwierigsten sei, vielseitige High-End-Entwickler mit ausreichenden Kenntnissen im Bereich Sicherheitstests zu finden. 70 % der Befragten gaben an, dass ihre Sicherheitsausbildung nicht ausreiche, um ihre derzeitige Position auszufüllen. Tatsächlich gaben weniger als 4 % an, dass sie sich gut vorbereitet fühlen.
Als ich fast zehn Jahre lang mit mehreren professionellen White-Hat-Hacker-Teams zusammengearbeitet habe, habe ich dies mit eigenen Augen gesehen. Leider haben wir oft große Unternehmen, Start-ups und Regierungsbehörden gehackt und dabei immer wieder dieselben Schwachstellen entdeckt.
Deshalb müssen Entwickler bei ihrer Einstellung lautstark darauf hinweisen. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie sich überlegen, bei welchem Unternehmen Sie arbeiten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie die Schulung durchgeführt werden soll. Wird sie praxisorientiert und interaktiv sein? Eine Entwicklersicherheitsschulung zu Schwachstellen, die mit Folien, Videos, anklickbaren Animationen oder abstrakten Diskussionen durchgeführt wird, wird Ihnen wahrscheinlich nicht direkt beim Programmieren helfen. Kann sichergestellt werden, dass Sie stets über die neuesten Schwachstellen informiert sind? Gibt es eine Sicherheitsgemeinschaft oder -community, von der Sie lernen können? Gibt es Sicherheitsexperten, an die Sie sich wenden können, wenn Sie Hilfe benötigen?
Das Engagement für sichere Programmierkenntnisse erfordert kontinuierliches Lernen durch praktische Herausforderungen in bestimmten Programmierumgebungen und die Auseinandersetzung mit verschiedenen Schwachstellen in unterschiedlichen Szenarien. SQL-Injection lässt sich nicht anhand eines einzigen Beispiels erlernen. Sie müssen sich mit mehreren Beispielen unterschiedlicher Art befassen, um diese gefährlichen Programmiermuster erkennen zu lernen.
Einer unserer Kunden hat seine Entwickler dazu aufgefordert, innerhalb von zwei Monaten täglich eine Herausforderung (5 Minuten) zu absolvieren. Vor und nach der Schulung wurden ihre Fähigkeiten getestet, und es wurde festgestellt, dass sich die Fähigkeiten von Hunderten von Entwicklern im Bereich sicheres Programmieren um 60 % verbessert haben. Das bedeutet, dass weniger Ressourcen für die Erkennung und Behebung von Sicherheitslücken in späteren Phasen des Lebenszyklus aufgewendet werden müssen und langfristig erhebliche Kosten eingespart werden können. Das bedeutet, dass Hacker Ihren Code nicht dazu nutzen können, um die Daten Ihres Unternehmens zu kompromittieren.
Laut einer Studie von IDC gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass bis zu 7 Millionen Berufe Programmierkenntnisse erfordern und dass die Zahl der Arbeitsplätze im Bereich Programmierung durchschnittlich 12 % schneller wächst als der Markt insgesamt.
Es gibt viele Software-Jobs. Entscheiden Sie sich daher für einen Arbeitgeber, der sich für Ihre Sicherheit, die Sicherheit Ihrer Kunden und die eigene Sicherheit einsetzt. Wählen Sie ein Unternehmen, das in Sie investiert.
Jeder Entwickler muss sich eine Frage stellen, egal ob Absolvent oder Experte. Die Antwort ist wichtig. In der agilen Welt gewinnt sie noch mehr an Bedeutung, da sie sich direkt auf Ihren Erfolg im Bereich Softwareentwicklung und Ihren Wert für Ihren nächsten Arbeitgeber auswirkt.
Das ist die Millionenfrage. Tatsächlich geht es hier um Millionen von Dollar!
Sind Sie bereit, mir dabei zu helfen, sicher zu programmieren?
Verzeichnis
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior kann Ihrem Unternehmen dabei helfen, Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, Chief Information Security Officer oder in einem anderen sicherheitsrelevanten Bereich tätig sind – wir können Ihrem Unternehmen dabei helfen, die mit unsicherem Code verbundenen Risiken zu minimieren.
Demo buchen下载Ressourcen, die Ihnen den Einstieg erleichtern
Themen und Inhalte der Sicherheitsschulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um sich an die sich wandelnde Softwareentwicklungslandschaft anzupassen und gleichzeitig Ihre Rolle zu berücksichtigen. Die Themen reichen von KI bis hin zu XQuery-Injection und sind für verschiedene Positionen geeignet, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Verschaffen Sie sich einen ersten Überblick nach Themen und Rollen und erfahren Sie, was unser Inhaltsverzeichnis zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen, die Ihnen den Einstieg erleichtern
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025: Der Kampf gegen den Boss hat nun in SCW ganzjährig begonnen. Der Kampf um die Sicherheit von KI/LLM auf Stammesebene, die Entwicklung von Sicherheits-KI wird durch groß angelegte Modelle verstärkt.
Auslegung des Gesetzes zur Netzresilienz: Was bedeutet es, durch die Entwicklung von Design-Software Sicherheit zu erreichen?
Verstehen Sie die Anforderungen des EU-Gesetzes zur Netzresilienz (CRA), für wen es gilt und wie sich Ingenieurteams durch Designpraktiken, Schwachstellenprävention und Kompetenzaufbau für Entwickler darauf vorbereiten können.
Treibende Faktoren 1: Klare und messbare Erfolgskriterien
Enabler 1 ist der Auftakt zu unserer 10-teiligen Reihe über Erfolgsfaktoren. Er zeigt, wie sichere Codierung mit Geschäftsergebnissen wie Risikominderung und schnellerer Reifung langfristiger Pläne in Verbindung gebracht werden kann.
