Code aus dem Käfig: Warum sichere Entwickler unbegrenzt versenden können
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Es scheint verblüffend, dass die meisten Entwickler, die an Code arbeiten, der kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen antreibt, dies tun, ohne vorher ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen?
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Inhaltsverzeichniss
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
