Anreize für Entwickler sind der Schlüssel zu besseren Sicherheitspraktiken
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Professionelle Entwickler möchten DevSecOps nutzen und sicheren Code schreiben, aber ihre Organisationen müssen diese Suchänderung unterstützen, wenn sie wollen, dass dieser Aufwand wächst.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
