Zertifiziertes Sicherheitsbewusstsein: Eine Executive Order zur Förderung von Entwicklern
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
.avif)
Die jüngste Exekutivverordnung der US-Bundesregierung befasst sich mit vielen Aspekten der funktionalen Cybersicherheit, beschreibt aber zum ersten Mal ausdrücklich die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie über verifizierte Sicherheitskenntnisse und -bewusstsein verfügen müssen.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
