Minderung technischer Schulden durch entwicklerorientierte Sicherheit
Lass uns über Schulden sprechen
Fast jeder weiß jetzt, dass Cyberkriminalität zu einem wichtigen Problem unserer Weltwirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Vorjahr. Es ist wichtig, die Kosten von unsicherem Code und die damit verbundenen technischen Schulden nicht zu ignorieren. Laut 2022 Konsortium für Informations- und Softwarequalität: Die Kosten schlechter Softwarequalität Berichten zufolge sind die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen US-Dollar gestiegen, und die kumulierten technischen Softwareschulden sind auf 1,52 Billionen US-Dollar gestiegen.
Die steigenden Kosten für den Umgang mit unsicherem Code und die damit verbundenen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden — und machen sie somit anfällig für Ausnutzung und externe Bedrohungen. Der Stand der Softwaresicherheit steckt in einer existenziellen Krise. Wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden abbauen müssen, aber die Hindernisse sind enorm:
- In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen als Softwareentwickler und IT-Bereich, mit einer prognostizierten Wachstumsrate von 15%
- Es wird prognostiziert, dass bis 2025 40% der IT-Budgets einfach für die Aufrechterhaltung der Technologieverschuldung ausgegeben werden
- Durchschnittlich 1/3 der wöchentlichen Arbeitsstunden von Entwicklern werden damit verbracht, technische Schulden zu beheben
Schnelle Lösungen sind riskant — und kosten langfristig mehr
Was sind technische Schulden und warum sind sie so wichtig? Technische Schulden häufen sich an, wenn Entscheidungsträger sich für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden — und nicht für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später zahlen müssen. Ähnlich wie bei einer voll ausgeschöpften Kreditkarte bestehen technische Schulden aus zwei Hauptkomponenten:
- Schulleiter - bezieht sich auf die Gesamtkosten für die Überarbeitung oder Reparatur von Software, sodass sie ein gewünschtes Maß an Wartbarkeit und Sicherheit erreicht.
- Zinsen - der zusätzliche Aufwand, den Entwickler für diese Änderungen aufwenden, um allein die technischen Probleme zu beheben und nicht um neue Funktionen. Jede Minute, die für einen nicht ganz richtigen Code aufgewendet wird, erhöht die Zinsen auf die Schulden.
Irgendwann kann es zu einem „technischen Bankrott“ kommen, wenn die Kosten für neue Funktionen, Bugfixes und Wartung das Projektbudget übersteigen, wodurch der Wert der Softwareanwendung erheblich sinkt.
Eine gewisse Anhäufung von Schulden ist jedoch, genau wie im Leben, normal und in den meisten Fällen etwas zu erwarten.
Idealerweise sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code versenden. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen möglicherweise Funktionen oder Produkte schnell und zu minimalen Kosten an Kunden liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Bereitstellung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was auf dem Bild fehlt, sind die akkumulierten Mängel und potenziellen Sicherheitslücken, die im Code verankert sind. Das macht ihn anfällig für spätere Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure.
Aber da liegt das Rätsel: Gibt es eine andere Möglichkeit, Produkte schnell zu versenden, ohne eine enorme Menge an technischen Schulden anzuhäufen?
Die Kosten für das Auffinden und Beheben von Mängeln und Sicherheitslücken sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kostengünstiger wird die gesamte Bereitstellung sein.
Technische Schulden können sich zu Sicherheitsschulden entwickeln
Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen, und verwenden idealerweise eine bereits geprüfte Lösung. Sie verlassen sich jedoch stark auf Open-Source-Software birgt oft eigene Risiken:
- 82% der Open-Source-Komponenten wurden als veraltet befunden (d. h. ungepatcht oder nicht gut unterstützt)
- 75% der Codebasen enthielten Sicherheitslücken (gegenüber 60% im Jahr 2018), und 49% enthielten Sicherheitslücken mit hohem Risiko
- Pro Codebasis wurden durchschnittlich 82 Sicherheitslücken identifiziert
Dadurch wächst eine Untergruppe der technischen Schulden — die Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Sicherheitslücken in einer Softwareanwendung, die es schwieriger oder sogar unmöglich machen, Daten und Systeme vor Angriffen zu schützen.
Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftriese im Jahr 2017 verletzt weil es versäumt hatte, eine bekannte Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Framework für Webanwendungen, zu beheben. Der Patch war seit Monaten verfügbar, aber die Sicherheitsverletzung gefährdete die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen.
Daher muss sicheren Codierungspraktiken mehr Aufmerksamkeit geschenkt werden, da viele Anwendungen nicht nur aufgrund ihrer technischen Schulden, sondern auch aufgrund der Dichte an Sicherheitslücken und Sicherheitslücken in der Anwendung selbst eine kritische Masse erreicht haben.
Dies kann zu enormen Verlusten führen, die entweder greifbar oder immateriell sein können:
Rufschädigung: Der Verlust des Kundenvertrauens kann sich in der Zukunft äußerst negativ auswirken. Dazu können Schäden an der Marke, Umsatzeinbußen und kostspielige Rechtsprobleme infolge eines Verstoßes gehören.
Auswirkungen auf Vorschriften und Compliance: Wenn eine Sicherheitsverletzung dazu führen kann, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen verpasst. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Bußgeldern führen kann.
Sanierungskosten: Nach einem Ausfall oder Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.
Vermeidung von technischen Schulden und Sicherheitsschulden im SDLC
Viele Unternehmen ändern bereits ihr Budget, um ein stärkeres Sicherheitsniveau zu schaffen. Letztes Jahr Google hat über einen Zeitraum von 5 Jahren 10 Milliarden US-Dollar bereitgestellt um ein Programm zur Stärkung der Cybersicherheit zu finanzieren. Die Biden-Regierung forderte ebenfalls 2,1 Milliarden US-Dollar im Ermessenshaushalt 2022 für die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA).
Die Bereitstellung von mehr Ressourcen und Schulungen, um das berufliche Wachstum und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt zur Festlegung von Qualitätsstandards für den gesamten Code sein, der in die Produktion geliefert wird.
Die Kosten für das Auffinden und Beheben von Sicherheitslücken oder Defekten steigen exponentiell, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen bei so viel Zeit, die für die Behebung von technischen und Sicherheitsschulden aufgewendet wird, ihre eigenen Verluste, indem sie auf Innovationen verzichten und auf Zeit verzichten, die für neue Funktionen oder Produkte aufgewendet wird.
Im Jahr 2022 gab eine Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode der Wahl waren, und es ist keine Überraschung, warum. DevSecOps integriert Sicherheit in jeder Phase des Softwareentwicklungszyklus, um bessere und sicherere Anwendungen bereitzustellen. Sicherheits- und Entwicklungsteams arbeiten weiterhin isoliert und stehen unter Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil der Art und Weise, wie Unternehmen versuchen, Barrieren abzubauen und die Kultur neu zu gestalten. Das grundlegende Ziel von DevSecOps ist es, die Zusammenarbeit zwischen AppSec/Security und Entwicklern von Beginn des Softwareentwicklungszyklus an zu verbessern.
Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss keine monumentale Leistung sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist entscheidend, wenn man versucht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwickler-Community eines Unternehmens zu verbessern. Eine solide Schulung für Entwickler im Bereich sicheres Programmieren stellt sicher, dass das Lernen kontinuierlich, interaktiv, relevant und kontextabhängig ist. Bei einem wirklich ganzheitlichen Ansatz muss berücksichtigt werden, was zur Förderung einer echten, von Entwicklern geleiteten Sicherheitskultur erforderlich ist. Dies erfordert möglicherweise eine Verlagerung des Schwerpunkts von den üblichen Methoden der Verwaltung und des Aufbaus von Entwicklerteams.
Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitsexperten zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen von heute zu bewältigen.
Die Einführung eines ansprechenden und skalierbaren Sicherheitscode-Programms ist aufgrund des langfristigen präventiven Sicherheitsansatzes und nicht des reaktiven Ansatzes der Vergangenheit eine lohnende Investition. Dies trägt letztlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Sicherheitslücken schnell finden und beheben können, und ermöglicht eine agilere Art, sich auf die Produktentwicklung zu konzentrieren und die Markteinführung zu beschleunigen.
Die Kosten für den Umgang mit unsicherem Code und den daraus resultierenden technischen Schulden sind eines der größten Hindernisse, mit denen die Technologie heute konfrontiert ist. Erfahren Sie, wie die Implementierung eines skalierbaren Sicherheitscode-Trainingsprogramms dazu beiträgt, technische Schulden zu reduzieren, indem schlechte Codierungsmuster behoben und Sicherheitslücken früh im Softwareentwicklungszyklus erkannt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Taylor Broadfoot-Nymark ist Produktmarketing-Managerin bei Secure Code Warrior. Sie hat mehrere Artikel über Cybersicherheit und agiles Lernen geschrieben und leitet auch Produkteinführungen, GTM-Strategien und Kundenberatung.
Lass uns über Schulden sprechen
Fast jeder weiß jetzt, dass Cyberkriminalität zu einem wichtigen Problem unserer Weltwirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Vorjahr. Es ist wichtig, die Kosten von unsicherem Code und die damit verbundenen technischen Schulden nicht zu ignorieren. Laut 2022 Konsortium für Informations- und Softwarequalität: Die Kosten schlechter Softwarequalität Berichten zufolge sind die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen US-Dollar gestiegen, und die kumulierten technischen Softwareschulden sind auf 1,52 Billionen US-Dollar gestiegen.
Die steigenden Kosten für den Umgang mit unsicherem Code und die damit verbundenen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden — und machen sie somit anfällig für Ausnutzung und externe Bedrohungen. Der Stand der Softwaresicherheit steckt in einer existenziellen Krise. Wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden abbauen müssen, aber die Hindernisse sind enorm:
- In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen als Softwareentwickler und IT-Bereich, mit einer prognostizierten Wachstumsrate von 15%
- Es wird prognostiziert, dass bis 2025 40% der IT-Budgets einfach für die Aufrechterhaltung der Technologieverschuldung ausgegeben werden
- Durchschnittlich 1/3 der wöchentlichen Arbeitsstunden von Entwicklern werden damit verbracht, technische Schulden zu beheben
Schnelle Lösungen sind riskant — und kosten langfristig mehr
Was sind technische Schulden und warum sind sie so wichtig? Technische Schulden häufen sich an, wenn Entscheidungsträger sich für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden — und nicht für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später zahlen müssen. Ähnlich wie bei einer voll ausgeschöpften Kreditkarte bestehen technische Schulden aus zwei Hauptkomponenten:
- Schulleiter - bezieht sich auf die Gesamtkosten für die Überarbeitung oder Reparatur von Software, sodass sie ein gewünschtes Maß an Wartbarkeit und Sicherheit erreicht.
- Zinsen - der zusätzliche Aufwand, den Entwickler für diese Änderungen aufwenden, um allein die technischen Probleme zu beheben und nicht um neue Funktionen. Jede Minute, die für einen nicht ganz richtigen Code aufgewendet wird, erhöht die Zinsen auf die Schulden.
Irgendwann kann es zu einem „technischen Bankrott“ kommen, wenn die Kosten für neue Funktionen, Bugfixes und Wartung das Projektbudget übersteigen, wodurch der Wert der Softwareanwendung erheblich sinkt.
Eine gewisse Anhäufung von Schulden ist jedoch, genau wie im Leben, normal und in den meisten Fällen etwas zu erwarten.
Idealerweise sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code versenden. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen möglicherweise Funktionen oder Produkte schnell und zu minimalen Kosten an Kunden liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Bereitstellung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was auf dem Bild fehlt, sind die akkumulierten Mängel und potenziellen Sicherheitslücken, die im Code verankert sind. Das macht ihn anfällig für spätere Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure.
Aber da liegt das Rätsel: Gibt es eine andere Möglichkeit, Produkte schnell zu versenden, ohne eine enorme Menge an technischen Schulden anzuhäufen?
Die Kosten für das Auffinden und Beheben von Mängeln und Sicherheitslücken sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kostengünstiger wird die gesamte Bereitstellung sein.
Technische Schulden können sich zu Sicherheitsschulden entwickeln
Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen, und verwenden idealerweise eine bereits geprüfte Lösung. Sie verlassen sich jedoch stark auf Open-Source-Software birgt oft eigene Risiken:
- 82% der Open-Source-Komponenten wurden als veraltet befunden (d. h. ungepatcht oder nicht gut unterstützt)
- 75% der Codebasen enthielten Sicherheitslücken (gegenüber 60% im Jahr 2018), und 49% enthielten Sicherheitslücken mit hohem Risiko
- Pro Codebasis wurden durchschnittlich 82 Sicherheitslücken identifiziert
Dadurch wächst eine Untergruppe der technischen Schulden — die Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Sicherheitslücken in einer Softwareanwendung, die es schwieriger oder sogar unmöglich machen, Daten und Systeme vor Angriffen zu schützen.
Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftriese im Jahr 2017 verletzt weil es versäumt hatte, eine bekannte Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Framework für Webanwendungen, zu beheben. Der Patch war seit Monaten verfügbar, aber die Sicherheitsverletzung gefährdete die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen.
Daher muss sicheren Codierungspraktiken mehr Aufmerksamkeit geschenkt werden, da viele Anwendungen nicht nur aufgrund ihrer technischen Schulden, sondern auch aufgrund der Dichte an Sicherheitslücken und Sicherheitslücken in der Anwendung selbst eine kritische Masse erreicht haben.
Dies kann zu enormen Verlusten führen, die entweder greifbar oder immateriell sein können:
Rufschädigung: Der Verlust des Kundenvertrauens kann sich in der Zukunft äußerst negativ auswirken. Dazu können Schäden an der Marke, Umsatzeinbußen und kostspielige Rechtsprobleme infolge eines Verstoßes gehören.
Auswirkungen auf Vorschriften und Compliance: Wenn eine Sicherheitsverletzung dazu führen kann, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen verpasst. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Bußgeldern führen kann.
Sanierungskosten: Nach einem Ausfall oder Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.
Vermeidung von technischen Schulden und Sicherheitsschulden im SDLC
Viele Unternehmen ändern bereits ihr Budget, um ein stärkeres Sicherheitsniveau zu schaffen. Letztes Jahr Google hat über einen Zeitraum von 5 Jahren 10 Milliarden US-Dollar bereitgestellt um ein Programm zur Stärkung der Cybersicherheit zu finanzieren. Die Biden-Regierung forderte ebenfalls 2,1 Milliarden US-Dollar im Ermessenshaushalt 2022 für die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA).
Die Bereitstellung von mehr Ressourcen und Schulungen, um das berufliche Wachstum und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt zur Festlegung von Qualitätsstandards für den gesamten Code sein, der in die Produktion geliefert wird.
Die Kosten für das Auffinden und Beheben von Sicherheitslücken oder Defekten steigen exponentiell, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen bei so viel Zeit, die für die Behebung von technischen und Sicherheitsschulden aufgewendet wird, ihre eigenen Verluste, indem sie auf Innovationen verzichten und auf Zeit verzichten, die für neue Funktionen oder Produkte aufgewendet wird.
Im Jahr 2022 gab eine Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode der Wahl waren, und es ist keine Überraschung, warum. DevSecOps integriert Sicherheit in jeder Phase des Softwareentwicklungszyklus, um bessere und sicherere Anwendungen bereitzustellen. Sicherheits- und Entwicklungsteams arbeiten weiterhin isoliert und stehen unter Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil der Art und Weise, wie Unternehmen versuchen, Barrieren abzubauen und die Kultur neu zu gestalten. Das grundlegende Ziel von DevSecOps ist es, die Zusammenarbeit zwischen AppSec/Security und Entwicklern von Beginn des Softwareentwicklungszyklus an zu verbessern.
Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss keine monumentale Leistung sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist entscheidend, wenn man versucht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwickler-Community eines Unternehmens zu verbessern. Eine solide Schulung für Entwickler im Bereich sicheres Programmieren stellt sicher, dass das Lernen kontinuierlich, interaktiv, relevant und kontextabhängig ist. Bei einem wirklich ganzheitlichen Ansatz muss berücksichtigt werden, was zur Förderung einer echten, von Entwicklern geleiteten Sicherheitskultur erforderlich ist. Dies erfordert möglicherweise eine Verlagerung des Schwerpunkts von den üblichen Methoden der Verwaltung und des Aufbaus von Entwicklerteams.
Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitsexperten zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen von heute zu bewältigen.
Die Einführung eines ansprechenden und skalierbaren Sicherheitscode-Programms ist aufgrund des langfristigen präventiven Sicherheitsansatzes und nicht des reaktiven Ansatzes der Vergangenheit eine lohnende Investition. Dies trägt letztlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Sicherheitslücken schnell finden und beheben können, und ermöglicht eine agilere Art, sich auf die Produktentwicklung zu konzentrieren und die Markteinführung zu beschleunigen.
Lass uns über Schulden sprechen
Fast jeder weiß jetzt, dass Cyberkriminalität zu einem wichtigen Problem unserer Weltwirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Vorjahr. Es ist wichtig, die Kosten von unsicherem Code und die damit verbundenen technischen Schulden nicht zu ignorieren. Laut 2022 Konsortium für Informations- und Softwarequalität: Die Kosten schlechter Softwarequalität Berichten zufolge sind die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen US-Dollar gestiegen, und die kumulierten technischen Softwareschulden sind auf 1,52 Billionen US-Dollar gestiegen.
Die steigenden Kosten für den Umgang mit unsicherem Code und die damit verbundenen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden — und machen sie somit anfällig für Ausnutzung und externe Bedrohungen. Der Stand der Softwaresicherheit steckt in einer existenziellen Krise. Wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden abbauen müssen, aber die Hindernisse sind enorm:
- In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen als Softwareentwickler und IT-Bereich, mit einer prognostizierten Wachstumsrate von 15%
- Es wird prognostiziert, dass bis 2025 40% der IT-Budgets einfach für die Aufrechterhaltung der Technologieverschuldung ausgegeben werden
- Durchschnittlich 1/3 der wöchentlichen Arbeitsstunden von Entwicklern werden damit verbracht, technische Schulden zu beheben
Schnelle Lösungen sind riskant — und kosten langfristig mehr
Was sind technische Schulden und warum sind sie so wichtig? Technische Schulden häufen sich an, wenn Entscheidungsträger sich für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden — und nicht für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später zahlen müssen. Ähnlich wie bei einer voll ausgeschöpften Kreditkarte bestehen technische Schulden aus zwei Hauptkomponenten:
- Schulleiter - bezieht sich auf die Gesamtkosten für die Überarbeitung oder Reparatur von Software, sodass sie ein gewünschtes Maß an Wartbarkeit und Sicherheit erreicht.
- Zinsen - der zusätzliche Aufwand, den Entwickler für diese Änderungen aufwenden, um allein die technischen Probleme zu beheben und nicht um neue Funktionen. Jede Minute, die für einen nicht ganz richtigen Code aufgewendet wird, erhöht die Zinsen auf die Schulden.
Irgendwann kann es zu einem „technischen Bankrott“ kommen, wenn die Kosten für neue Funktionen, Bugfixes und Wartung das Projektbudget übersteigen, wodurch der Wert der Softwareanwendung erheblich sinkt.
Eine gewisse Anhäufung von Schulden ist jedoch, genau wie im Leben, normal und in den meisten Fällen etwas zu erwarten.
Idealerweise sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code versenden. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen möglicherweise Funktionen oder Produkte schnell und zu minimalen Kosten an Kunden liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Bereitstellung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was auf dem Bild fehlt, sind die akkumulierten Mängel und potenziellen Sicherheitslücken, die im Code verankert sind. Das macht ihn anfällig für spätere Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure.
Aber da liegt das Rätsel: Gibt es eine andere Möglichkeit, Produkte schnell zu versenden, ohne eine enorme Menge an technischen Schulden anzuhäufen?
Die Kosten für das Auffinden und Beheben von Mängeln und Sicherheitslücken sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kostengünstiger wird die gesamte Bereitstellung sein.
Technische Schulden können sich zu Sicherheitsschulden entwickeln
Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen, und verwenden idealerweise eine bereits geprüfte Lösung. Sie verlassen sich jedoch stark auf Open-Source-Software birgt oft eigene Risiken:
- 82% der Open-Source-Komponenten wurden als veraltet befunden (d. h. ungepatcht oder nicht gut unterstützt)
- 75% der Codebasen enthielten Sicherheitslücken (gegenüber 60% im Jahr 2018), und 49% enthielten Sicherheitslücken mit hohem Risiko
- Pro Codebasis wurden durchschnittlich 82 Sicherheitslücken identifiziert
Dadurch wächst eine Untergruppe der technischen Schulden — die Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Sicherheitslücken in einer Softwareanwendung, die es schwieriger oder sogar unmöglich machen, Daten und Systeme vor Angriffen zu schützen.
Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftriese im Jahr 2017 verletzt weil es versäumt hatte, eine bekannte Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Framework für Webanwendungen, zu beheben. Der Patch war seit Monaten verfügbar, aber die Sicherheitsverletzung gefährdete die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen.
Daher muss sicheren Codierungspraktiken mehr Aufmerksamkeit geschenkt werden, da viele Anwendungen nicht nur aufgrund ihrer technischen Schulden, sondern auch aufgrund der Dichte an Sicherheitslücken und Sicherheitslücken in der Anwendung selbst eine kritische Masse erreicht haben.
Dies kann zu enormen Verlusten führen, die entweder greifbar oder immateriell sein können:
Rufschädigung: Der Verlust des Kundenvertrauens kann sich in der Zukunft äußerst negativ auswirken. Dazu können Schäden an der Marke, Umsatzeinbußen und kostspielige Rechtsprobleme infolge eines Verstoßes gehören.
Auswirkungen auf Vorschriften und Compliance: Wenn eine Sicherheitsverletzung dazu führen kann, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen verpasst. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Bußgeldern führen kann.
Sanierungskosten: Nach einem Ausfall oder Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.
Vermeidung von technischen Schulden und Sicherheitsschulden im SDLC
Viele Unternehmen ändern bereits ihr Budget, um ein stärkeres Sicherheitsniveau zu schaffen. Letztes Jahr Google hat über einen Zeitraum von 5 Jahren 10 Milliarden US-Dollar bereitgestellt um ein Programm zur Stärkung der Cybersicherheit zu finanzieren. Die Biden-Regierung forderte ebenfalls 2,1 Milliarden US-Dollar im Ermessenshaushalt 2022 für die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA).
Die Bereitstellung von mehr Ressourcen und Schulungen, um das berufliche Wachstum und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt zur Festlegung von Qualitätsstandards für den gesamten Code sein, der in die Produktion geliefert wird.
Die Kosten für das Auffinden und Beheben von Sicherheitslücken oder Defekten steigen exponentiell, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen bei so viel Zeit, die für die Behebung von technischen und Sicherheitsschulden aufgewendet wird, ihre eigenen Verluste, indem sie auf Innovationen verzichten und auf Zeit verzichten, die für neue Funktionen oder Produkte aufgewendet wird.
Im Jahr 2022 gab eine Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode der Wahl waren, und es ist keine Überraschung, warum. DevSecOps integriert Sicherheit in jeder Phase des Softwareentwicklungszyklus, um bessere und sicherere Anwendungen bereitzustellen. Sicherheits- und Entwicklungsteams arbeiten weiterhin isoliert und stehen unter Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil der Art und Weise, wie Unternehmen versuchen, Barrieren abzubauen und die Kultur neu zu gestalten. Das grundlegende Ziel von DevSecOps ist es, die Zusammenarbeit zwischen AppSec/Security und Entwicklern von Beginn des Softwareentwicklungszyklus an zu verbessern.
Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss keine monumentale Leistung sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist entscheidend, wenn man versucht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwickler-Community eines Unternehmens zu verbessern. Eine solide Schulung für Entwickler im Bereich sicheres Programmieren stellt sicher, dass das Lernen kontinuierlich, interaktiv, relevant und kontextabhängig ist. Bei einem wirklich ganzheitlichen Ansatz muss berücksichtigt werden, was zur Förderung einer echten, von Entwicklern geleiteten Sicherheitskultur erforderlich ist. Dies erfordert möglicherweise eine Verlagerung des Schwerpunkts von den üblichen Methoden der Verwaltung und des Aufbaus von Entwicklerteams.
Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitsexperten zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen von heute zu bewältigen.
Die Einführung eines ansprechenden und skalierbaren Sicherheitscode-Programms ist aufgrund des langfristigen präventiven Sicherheitsansatzes und nicht des reaktiven Ansatzes der Vergangenheit eine lohnende Investition. Dies trägt letztlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Sicherheitslücken schnell finden und beheben können, und ermöglicht eine agilere Art, sich auf die Produktentwicklung zu konzentrieren und die Markteinführung zu beschleunigen.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenTaylor Broadfoot-Nymark ist Produktmarketing-Managerin bei Secure Code Warrior. Sie hat mehrere Artikel über Cybersicherheit und agiles Lernen geschrieben und leitet auch Produkteinführungen, GTM-Strategien und Kundenberatung.
Lass uns über Schulden sprechen
Fast jeder weiß jetzt, dass Cyberkriminalität zu einem wichtigen Problem unserer Weltwirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Vorjahr. Es ist wichtig, die Kosten von unsicherem Code und die damit verbundenen technischen Schulden nicht zu ignorieren. Laut 2022 Konsortium für Informations- und Softwarequalität: Die Kosten schlechter Softwarequalität Berichten zufolge sind die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen US-Dollar gestiegen, und die kumulierten technischen Softwareschulden sind auf 1,52 Billionen US-Dollar gestiegen.
Die steigenden Kosten für den Umgang mit unsicherem Code und die damit verbundenen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden — und machen sie somit anfällig für Ausnutzung und externe Bedrohungen. Der Stand der Softwaresicherheit steckt in einer existenziellen Krise. Wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden abbauen müssen, aber die Hindernisse sind enorm:
- In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen als Softwareentwickler und IT-Bereich, mit einer prognostizierten Wachstumsrate von 15%
- Es wird prognostiziert, dass bis 2025 40% der IT-Budgets einfach für die Aufrechterhaltung der Technologieverschuldung ausgegeben werden
- Durchschnittlich 1/3 der wöchentlichen Arbeitsstunden von Entwicklern werden damit verbracht, technische Schulden zu beheben
Schnelle Lösungen sind riskant — und kosten langfristig mehr
Was sind technische Schulden und warum sind sie so wichtig? Technische Schulden häufen sich an, wenn Entscheidungsträger sich für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden — und nicht für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später zahlen müssen. Ähnlich wie bei einer voll ausgeschöpften Kreditkarte bestehen technische Schulden aus zwei Hauptkomponenten:
- Schulleiter - bezieht sich auf die Gesamtkosten für die Überarbeitung oder Reparatur von Software, sodass sie ein gewünschtes Maß an Wartbarkeit und Sicherheit erreicht.
- Zinsen - der zusätzliche Aufwand, den Entwickler für diese Änderungen aufwenden, um allein die technischen Probleme zu beheben und nicht um neue Funktionen. Jede Minute, die für einen nicht ganz richtigen Code aufgewendet wird, erhöht die Zinsen auf die Schulden.
Irgendwann kann es zu einem „technischen Bankrott“ kommen, wenn die Kosten für neue Funktionen, Bugfixes und Wartung das Projektbudget übersteigen, wodurch der Wert der Softwareanwendung erheblich sinkt.
Eine gewisse Anhäufung von Schulden ist jedoch, genau wie im Leben, normal und in den meisten Fällen etwas zu erwarten.
Idealerweise sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code versenden. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen möglicherweise Funktionen oder Produkte schnell und zu minimalen Kosten an Kunden liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Bereitstellung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was auf dem Bild fehlt, sind die akkumulierten Mängel und potenziellen Sicherheitslücken, die im Code verankert sind. Das macht ihn anfällig für spätere Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure.
Aber da liegt das Rätsel: Gibt es eine andere Möglichkeit, Produkte schnell zu versenden, ohne eine enorme Menge an technischen Schulden anzuhäufen?
Die Kosten für das Auffinden und Beheben von Mängeln und Sicherheitslücken sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kostengünstiger wird die gesamte Bereitstellung sein.
Technische Schulden können sich zu Sicherheitsschulden entwickeln
Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen, und verwenden idealerweise eine bereits geprüfte Lösung. Sie verlassen sich jedoch stark auf Open-Source-Software birgt oft eigene Risiken:
- 82% der Open-Source-Komponenten wurden als veraltet befunden (d. h. ungepatcht oder nicht gut unterstützt)
- 75% der Codebasen enthielten Sicherheitslücken (gegenüber 60% im Jahr 2018), und 49% enthielten Sicherheitslücken mit hohem Risiko
- Pro Codebasis wurden durchschnittlich 82 Sicherheitslücken identifiziert
Dadurch wächst eine Untergruppe der technischen Schulden — die Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Sicherheitslücken in einer Softwareanwendung, die es schwieriger oder sogar unmöglich machen, Daten und Systeme vor Angriffen zu schützen.
Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftriese im Jahr 2017 verletzt weil es versäumt hatte, eine bekannte Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Framework für Webanwendungen, zu beheben. Der Patch war seit Monaten verfügbar, aber die Sicherheitsverletzung gefährdete die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen.
Daher muss sicheren Codierungspraktiken mehr Aufmerksamkeit geschenkt werden, da viele Anwendungen nicht nur aufgrund ihrer technischen Schulden, sondern auch aufgrund der Dichte an Sicherheitslücken und Sicherheitslücken in der Anwendung selbst eine kritische Masse erreicht haben.
Dies kann zu enormen Verlusten führen, die entweder greifbar oder immateriell sein können:
Rufschädigung: Der Verlust des Kundenvertrauens kann sich in der Zukunft äußerst negativ auswirken. Dazu können Schäden an der Marke, Umsatzeinbußen und kostspielige Rechtsprobleme infolge eines Verstoßes gehören.
Auswirkungen auf Vorschriften und Compliance: Wenn eine Sicherheitsverletzung dazu führen kann, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen verpasst. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Bußgeldern führen kann.
Sanierungskosten: Nach einem Ausfall oder Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.
Vermeidung von technischen Schulden und Sicherheitsschulden im SDLC
Viele Unternehmen ändern bereits ihr Budget, um ein stärkeres Sicherheitsniveau zu schaffen. Letztes Jahr Google hat über einen Zeitraum von 5 Jahren 10 Milliarden US-Dollar bereitgestellt um ein Programm zur Stärkung der Cybersicherheit zu finanzieren. Die Biden-Regierung forderte ebenfalls 2,1 Milliarden US-Dollar im Ermessenshaushalt 2022 für die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA).
Die Bereitstellung von mehr Ressourcen und Schulungen, um das berufliche Wachstum und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt zur Festlegung von Qualitätsstandards für den gesamten Code sein, der in die Produktion geliefert wird.
Die Kosten für das Auffinden und Beheben von Sicherheitslücken oder Defekten steigen exponentiell, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen bei so viel Zeit, die für die Behebung von technischen und Sicherheitsschulden aufgewendet wird, ihre eigenen Verluste, indem sie auf Innovationen verzichten und auf Zeit verzichten, die für neue Funktionen oder Produkte aufgewendet wird.
Im Jahr 2022 gab eine Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode der Wahl waren, und es ist keine Überraschung, warum. DevSecOps integriert Sicherheit in jeder Phase des Softwareentwicklungszyklus, um bessere und sicherere Anwendungen bereitzustellen. Sicherheits- und Entwicklungsteams arbeiten weiterhin isoliert und stehen unter Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil der Art und Weise, wie Unternehmen versuchen, Barrieren abzubauen und die Kultur neu zu gestalten. Das grundlegende Ziel von DevSecOps ist es, die Zusammenarbeit zwischen AppSec/Security und Entwicklern von Beginn des Softwareentwicklungszyklus an zu verbessern.
Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss keine monumentale Leistung sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist entscheidend, wenn man versucht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwickler-Community eines Unternehmens zu verbessern. Eine solide Schulung für Entwickler im Bereich sicheres Programmieren stellt sicher, dass das Lernen kontinuierlich, interaktiv, relevant und kontextabhängig ist. Bei einem wirklich ganzheitlichen Ansatz muss berücksichtigt werden, was zur Förderung einer echten, von Entwicklern geleiteten Sicherheitskultur erforderlich ist. Dies erfordert möglicherweise eine Verlagerung des Schwerpunkts von den üblichen Methoden der Verwaltung und des Aufbaus von Entwicklerteams.
Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitsexperten zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen von heute zu bewältigen.
Die Einführung eines ansprechenden und skalierbaren Sicherheitscode-Programms ist aufgrund des langfristigen präventiven Sicherheitsansatzes und nicht des reaktiven Ansatzes der Vergangenheit eine lohnende Investition. Dies trägt letztlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Sicherheitslücken schnell finden und beheben können, und ermöglicht eine agilere Art, sich auf die Produktentwicklung zu konzentrieren und die Markteinführung zu beschleunigen.
Inhaltsverzeichniss
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
