Neuausrichtung Ihres Unternehmens im Hinblick auf sichere Codierung — Barrieren, Bedenken und aktive Lösungen
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Sicherheitslücke, nur eine ausnutzbare Schwachstelle in ihrem Code, kann zum Diebstahl von Kundendaten, zu Reputationsschäden und erheblichen finanziellen Verlusten führen. Noch nie war eine organisatorische Ausrichtung auf sichere Codierung so wichtig wie heute — aber sie zu erreichen ist leichter gesagt als getan. Deshalb hat Secure Code Warrior 2020 gemeinsam mit Evans Data Corp. eine Primärforschung* zur Einstellung von Entwicklern und Managern zu sicherem Programmieren, sicheren Codeverfahren und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit von größter Bedeutung ist, werden die traditionellen KPIs für den Projekterfolg neu definiert — aber nicht schnell genug.
Als wir Entwickler und Manager nach den wichtigsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76% Leistung bei nominierten Anwendungen
- 62% wählten Features und Funktionen aus
- Und etwas mehr als 50% ausgewählter Sicherheitscode
Wie wir sehen können, hat Sicherheit heute keine kritische Priorität.
Mit Blick auf die Zukunft ändert sich das Bild jedoch dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79% der Entwickler zu, dass sicheres Programmieren an Bedeutung gewinnen wird. Tatsächlich betrachten Entwickler Sicherheit als den KPI, dessen Bedeutung am stärksten zunehmen wird.
Obwohl das Bewusstsein für sichere Codierung zunimmt, gibt es Bedenken hinsichtlich ihrer Einführung. Entwicklern und Managern gleichermaßen reicht es aus, sich mit Sicherheitslücken zu befassen und für Code verantwortlich zu sein, um sie nachts wach zu halten. Unsere Recherche* haben ergeben, dass diese beiden Gruppen dieselben grundlegenden Bedenken teilen, was darauf hindeutet, dass eine bessere Schulung in sicheren Programmierpraktiken erforderlich ist.
Bedenken und Hindernisse im Zusammenhang mit sicheren Codierungspraktiken
Das Hauptproblem für Entwickler ist das „Einfügen von Code, der frühere Sicherheitslücken repliziert“. Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist das kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein — oder von Code, der überarbeitet werden muss und sein Team verlangsamt.
Das zweitwichtigste Problem für Entwickler ist der Umgang mit Fehlern, die von Mitarbeitern verursacht wurden. Die Einhaltung von Fristen und die Verantwortung für Code stehen ebenfalls ganz oben auf der Liste — ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den aktuellen Schulungsansätzen widerspiegelt.
Manager hingegen sehen das eher von oben nach unten. Ihr größtes Anliegen ist es, für schlechten Code oder Code, der frühere Sicherheitslücken repliziert, verantwortlich zu sein. Denn wenn ihr Team miesen Code produziert, liegt der schwarze Peter beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, steht an dritter Stelle — dies ist nicht das einzige Hindernis für sichere Programmierpraktiken.
45% nannten einen Mangel an Kommunikation zwischen Stakeholdern und Management als erhebliches Hindernis. 42% beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig gaben 40 Prozent an, dass die Schulungszeit und die Ressourcen unzureichend waren.
Aktuelle Sicherheitscode-Schulungsansätze sind nicht ausreichend — und Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Die Praxis der sicheren Codierung bedeutet naturgemäß, dass die Sicherheit viel früher im SDLC berücksichtigt wird. Es bedeutet, die Sicherheit von Anfang an aktiv in die Software einzubauen, so wie sie geschrieben ist, anstatt dies später zu überlassen. Mit anderen Worten, zur „Linksverschiebung“. Diese „Verschiebung nach links“ ist die Essenz der sicheren Codierungspraxis. Und das bedeutet, dass letztlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber derzeit stimmen nur 15% der Entwickler zu.
Obwohl die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem betrachten, setzt sich eine kleine, aber wachsende Kohorte nicht nur aktiv für sicheres Programmieren ein, sondern setzt sich auch innerhalb ihrer Organisation dafür ein. 29% der befragten Entwickler stimmen zu, dass es solche Ansprechpartner an ihrem Arbeitsplatz gibt. Das Problem ist, dass diese Experten für sicheren Code immer noch zu dünn gesät sind.
Mehr Sicherheitsexperten schaffen
Entwicklungsmanager sind sich der Notwendigkeit bewusst, neue Sicherheitsexperten zu identifizieren und zu schaffen und die Fähigkeiten von Entwicklern im Allgemeinen in Bezug auf sichere Codierung zu verbessern.
Viele Manager legen auch großen Wert auf sichere Programmierkenntnisse, wenn sie neue Entwickler einstellen, und legen Wert auf sichere Programmiererfahrung bei Entwicklern, die bereits Teil ihres Teams sind.
83% der befragten Manager geben an, dass sie Entwickler bitten, sichere Codierungspraktiken zu erlernen oder anzuwenden. Rund drei Viertel der befragten Manager geben an, dass sie Entwicklern Anreize bieten, sich mit Schulungen zum Thema Sicherheitscode zu beschäftigen. Diese Anreize reichen von formeller Anerkennung über mehr Verantwortung bis hin zu höheren Löhnen.
Es ist klar, dass Entwicklungsmanager die Einführung sicherer Codierungspraktiken auf Unternehmensebene entscheidend beeinflussen — und maßgeblich dazu beitragen, Sicherheitsexperten zu erkennen.
Aber was motiviert Entwickler dazu, mehr von diesen Champions zu entwickeln, etwas über sicheres Programmieren zu lernen? Unsere Untersuchungen zeigen, dass sie darin ein Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum drängen Entwickler also nicht auf ein sichereres Codetraining? Was steht einer Anpassung an die wachsenden organisatorischen Anforderungen im Weg?
Lösungen, um mit der Neuausrichtung zu beginnen
Entwickler wollen nicht herumsitzen und den Dozenten zuhören — sie wollen Dinge in die Finger bekommen und sie selbst ausprobieren. Sie wollen sich auf praktische Anwendungen konzentrieren — etwas, das aktuellen Schulungsprogrammen schmerzlich fehlt. Auf die Frage, wie die vom Unternehmen angebotenen Schulungen verbessert werden könnten, gaben 30% der Befragten an, dass sie es begrüßen würden, wenn die Schulung auf praktische Anwendungen und insbesondere auf authentische Arbeitsszenarien ausgerichtet wäre.
Die derzeitigen Ausbildungspraktiken bieten dies nicht. Ein neuer Ansatz ist gefragt — und als Verfechter des Wandels verfolgt Secure Code Warrior einen von Menschen geleiteten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unsere Cybersicherheit Lehrveranstaltungen bieten geführte Lernpfade an, die praktische, „spielerische“ Programmierherausforderungen beinhalten, die die Entwickler in der realen Welt nachahmen.
Dieses Training ist sprache:framework-spezifisch, im Gegensatz zu generischen Schulungen, die oft auf einem Ohr rein und auf dem anderen raus gehen.
Wenn es um die Neuausrichtung der Kultur geht, Turniere kann verwendet werden, um die Sicherheitsfähigkeiten von Programmierern zu messen, eine Grundlage für die zukünftige Entwicklung von Fähigkeiten zu schaffen und die potenziellen Sicherheitsexperten in Ihrem Entwicklungsteam ausfindig zu machen.
Wenn Sie mehr über sichere Code-Schulungen erfahren möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierungszukunft abstimmen, jetzt eine Demo buchen.
*Übergang von der Reaktion zur Prävention: Das sich wandelnde Gesicht der Anwendungssicherheit. Secure Code Warrior und Evans Data Corp. 2020
.avif)
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Sicherheitslücke, nur eine ausnutzbare Schwachstelle in ihrem Code, kann zum Diebstahl von Kundendaten, zu Reputationsschäden und erheblichen finanziellen Verlusten führen. Noch nie war eine organisatorische Ausrichtung auf sichere Codierung so wichtig wie heute — aber sie zu erreichen, ist leichter gesagt als getan.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Sicherheitslücke, nur eine ausnutzbare Schwachstelle in ihrem Code, kann zum Diebstahl von Kundendaten, zu Reputationsschäden und erheblichen finanziellen Verlusten führen. Noch nie war eine organisatorische Ausrichtung auf sichere Codierung so wichtig wie heute — aber sie zu erreichen ist leichter gesagt als getan. Deshalb hat Secure Code Warrior 2020 gemeinsam mit Evans Data Corp. eine Primärforschung* zur Einstellung von Entwicklern und Managern zu sicherem Programmieren, sicheren Codeverfahren und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit von größter Bedeutung ist, werden die traditionellen KPIs für den Projekterfolg neu definiert — aber nicht schnell genug.
Als wir Entwickler und Manager nach den wichtigsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76% Leistung bei nominierten Anwendungen
- 62% wählten Features und Funktionen aus
- Und etwas mehr als 50% ausgewählter Sicherheitscode
Wie wir sehen können, hat Sicherheit heute keine kritische Priorität.
Mit Blick auf die Zukunft ändert sich das Bild jedoch dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79% der Entwickler zu, dass sicheres Programmieren an Bedeutung gewinnen wird. Tatsächlich betrachten Entwickler Sicherheit als den KPI, dessen Bedeutung am stärksten zunehmen wird.
Obwohl das Bewusstsein für sichere Codierung zunimmt, gibt es Bedenken hinsichtlich ihrer Einführung. Entwicklern und Managern gleichermaßen reicht es aus, sich mit Sicherheitslücken zu befassen und für Code verantwortlich zu sein, um sie nachts wach zu halten. Unsere Recherche* haben ergeben, dass diese beiden Gruppen dieselben grundlegenden Bedenken teilen, was darauf hindeutet, dass eine bessere Schulung in sicheren Programmierpraktiken erforderlich ist.
Bedenken und Hindernisse im Zusammenhang mit sicheren Codierungspraktiken
Das Hauptproblem für Entwickler ist das „Einfügen von Code, der frühere Sicherheitslücken repliziert“. Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist das kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein — oder von Code, der überarbeitet werden muss und sein Team verlangsamt.
Das zweitwichtigste Problem für Entwickler ist der Umgang mit Fehlern, die von Mitarbeitern verursacht wurden. Die Einhaltung von Fristen und die Verantwortung für Code stehen ebenfalls ganz oben auf der Liste — ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den aktuellen Schulungsansätzen widerspiegelt.
Manager hingegen sehen das eher von oben nach unten. Ihr größtes Anliegen ist es, für schlechten Code oder Code, der frühere Sicherheitslücken repliziert, verantwortlich zu sein. Denn wenn ihr Team miesen Code produziert, liegt der schwarze Peter beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, steht an dritter Stelle — dies ist nicht das einzige Hindernis für sichere Programmierpraktiken.
45% nannten einen Mangel an Kommunikation zwischen Stakeholdern und Management als erhebliches Hindernis. 42% beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig gaben 40 Prozent an, dass die Schulungszeit und die Ressourcen unzureichend waren.
Aktuelle Sicherheitscode-Schulungsansätze sind nicht ausreichend — und Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Die Praxis der sicheren Codierung bedeutet naturgemäß, dass die Sicherheit viel früher im SDLC berücksichtigt wird. Es bedeutet, die Sicherheit von Anfang an aktiv in die Software einzubauen, so wie sie geschrieben ist, anstatt dies später zu überlassen. Mit anderen Worten, zur „Linksverschiebung“. Diese „Verschiebung nach links“ ist die Essenz der sicheren Codierungspraxis. Und das bedeutet, dass letztlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber derzeit stimmen nur 15% der Entwickler zu.
Obwohl die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem betrachten, setzt sich eine kleine, aber wachsende Kohorte nicht nur aktiv für sicheres Programmieren ein, sondern setzt sich auch innerhalb ihrer Organisation dafür ein. 29% der befragten Entwickler stimmen zu, dass es solche Ansprechpartner an ihrem Arbeitsplatz gibt. Das Problem ist, dass diese Experten für sicheren Code immer noch zu dünn gesät sind.
Mehr Sicherheitsexperten schaffen
Entwicklungsmanager sind sich der Notwendigkeit bewusst, neue Sicherheitsexperten zu identifizieren und zu schaffen und die Fähigkeiten von Entwicklern im Allgemeinen in Bezug auf sichere Codierung zu verbessern.
Viele Manager legen auch großen Wert auf sichere Programmierkenntnisse, wenn sie neue Entwickler einstellen, und legen Wert auf sichere Programmiererfahrung bei Entwicklern, die bereits Teil ihres Teams sind.
83% der befragten Manager geben an, dass sie Entwickler bitten, sichere Codierungspraktiken zu erlernen oder anzuwenden. Rund drei Viertel der befragten Manager geben an, dass sie Entwicklern Anreize bieten, sich mit Schulungen zum Thema Sicherheitscode zu beschäftigen. Diese Anreize reichen von formeller Anerkennung über mehr Verantwortung bis hin zu höheren Löhnen.
Es ist klar, dass Entwicklungsmanager die Einführung sicherer Codierungspraktiken auf Unternehmensebene entscheidend beeinflussen — und maßgeblich dazu beitragen, Sicherheitsexperten zu erkennen.
Aber was motiviert Entwickler dazu, mehr von diesen Champions zu entwickeln, etwas über sicheres Programmieren zu lernen? Unsere Untersuchungen zeigen, dass sie darin ein Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum drängen Entwickler also nicht auf ein sichereres Codetraining? Was steht einer Anpassung an die wachsenden organisatorischen Anforderungen im Weg?
Lösungen, um mit der Neuausrichtung zu beginnen
Entwickler wollen nicht herumsitzen und den Dozenten zuhören — sie wollen Dinge in die Finger bekommen und sie selbst ausprobieren. Sie wollen sich auf praktische Anwendungen konzentrieren — etwas, das aktuellen Schulungsprogrammen schmerzlich fehlt. Auf die Frage, wie die vom Unternehmen angebotenen Schulungen verbessert werden könnten, gaben 30% der Befragten an, dass sie es begrüßen würden, wenn die Schulung auf praktische Anwendungen und insbesondere auf authentische Arbeitsszenarien ausgerichtet wäre.
Die derzeitigen Ausbildungspraktiken bieten dies nicht. Ein neuer Ansatz ist gefragt — und als Verfechter des Wandels verfolgt Secure Code Warrior einen von Menschen geleiteten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unsere Cybersicherheit Lehrveranstaltungen bieten geführte Lernpfade an, die praktische, „spielerische“ Programmierherausforderungen beinhalten, die die Entwickler in der realen Welt nachahmen.
Dieses Training ist sprache:framework-spezifisch, im Gegensatz zu generischen Schulungen, die oft auf einem Ohr rein und auf dem anderen raus gehen.
Wenn es um die Neuausrichtung der Kultur geht, Turniere kann verwendet werden, um die Sicherheitsfähigkeiten von Programmierern zu messen, eine Grundlage für die zukünftige Entwicklung von Fähigkeiten zu schaffen und die potenziellen Sicherheitsexperten in Ihrem Entwicklungsteam ausfindig zu machen.
Wenn Sie mehr über sichere Code-Schulungen erfahren möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierungszukunft abstimmen, jetzt eine Demo buchen.
*Übergang von der Reaktion zur Prävention: Das sich wandelnde Gesicht der Anwendungssicherheit. Secure Code Warrior und Evans Data Corp. 2020
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Sicherheitslücke, nur eine ausnutzbare Schwachstelle in ihrem Code, kann zum Diebstahl von Kundendaten, zu Reputationsschäden und erheblichen finanziellen Verlusten führen. Noch nie war eine organisatorische Ausrichtung auf sichere Codierung so wichtig wie heute — aber sie zu erreichen ist leichter gesagt als getan. Deshalb hat Secure Code Warrior 2020 gemeinsam mit Evans Data Corp. eine Primärforschung* zur Einstellung von Entwicklern und Managern zu sicherem Programmieren, sicheren Codeverfahren und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit von größter Bedeutung ist, werden die traditionellen KPIs für den Projekterfolg neu definiert — aber nicht schnell genug.
Als wir Entwickler und Manager nach den wichtigsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76% Leistung bei nominierten Anwendungen
- 62% wählten Features und Funktionen aus
- Und etwas mehr als 50% ausgewählter Sicherheitscode
Wie wir sehen können, hat Sicherheit heute keine kritische Priorität.
Mit Blick auf die Zukunft ändert sich das Bild jedoch dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79% der Entwickler zu, dass sicheres Programmieren an Bedeutung gewinnen wird. Tatsächlich betrachten Entwickler Sicherheit als den KPI, dessen Bedeutung am stärksten zunehmen wird.
Obwohl das Bewusstsein für sichere Codierung zunimmt, gibt es Bedenken hinsichtlich ihrer Einführung. Entwicklern und Managern gleichermaßen reicht es aus, sich mit Sicherheitslücken zu befassen und für Code verantwortlich zu sein, um sie nachts wach zu halten. Unsere Recherche* haben ergeben, dass diese beiden Gruppen dieselben grundlegenden Bedenken teilen, was darauf hindeutet, dass eine bessere Schulung in sicheren Programmierpraktiken erforderlich ist.
Bedenken und Hindernisse im Zusammenhang mit sicheren Codierungspraktiken
Das Hauptproblem für Entwickler ist das „Einfügen von Code, der frühere Sicherheitslücken repliziert“. Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist das kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein — oder von Code, der überarbeitet werden muss und sein Team verlangsamt.
Das zweitwichtigste Problem für Entwickler ist der Umgang mit Fehlern, die von Mitarbeitern verursacht wurden. Die Einhaltung von Fristen und die Verantwortung für Code stehen ebenfalls ganz oben auf der Liste — ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den aktuellen Schulungsansätzen widerspiegelt.
Manager hingegen sehen das eher von oben nach unten. Ihr größtes Anliegen ist es, für schlechten Code oder Code, der frühere Sicherheitslücken repliziert, verantwortlich zu sein. Denn wenn ihr Team miesen Code produziert, liegt der schwarze Peter beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, steht an dritter Stelle — dies ist nicht das einzige Hindernis für sichere Programmierpraktiken.
45% nannten einen Mangel an Kommunikation zwischen Stakeholdern und Management als erhebliches Hindernis. 42% beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig gaben 40 Prozent an, dass die Schulungszeit und die Ressourcen unzureichend waren.
Aktuelle Sicherheitscode-Schulungsansätze sind nicht ausreichend — und Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Die Praxis der sicheren Codierung bedeutet naturgemäß, dass die Sicherheit viel früher im SDLC berücksichtigt wird. Es bedeutet, die Sicherheit von Anfang an aktiv in die Software einzubauen, so wie sie geschrieben ist, anstatt dies später zu überlassen. Mit anderen Worten, zur „Linksverschiebung“. Diese „Verschiebung nach links“ ist die Essenz der sicheren Codierungspraxis. Und das bedeutet, dass letztlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber derzeit stimmen nur 15% der Entwickler zu.
Obwohl die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem betrachten, setzt sich eine kleine, aber wachsende Kohorte nicht nur aktiv für sicheres Programmieren ein, sondern setzt sich auch innerhalb ihrer Organisation dafür ein. 29% der befragten Entwickler stimmen zu, dass es solche Ansprechpartner an ihrem Arbeitsplatz gibt. Das Problem ist, dass diese Experten für sicheren Code immer noch zu dünn gesät sind.
Mehr Sicherheitsexperten schaffen
Entwicklungsmanager sind sich der Notwendigkeit bewusst, neue Sicherheitsexperten zu identifizieren und zu schaffen und die Fähigkeiten von Entwicklern im Allgemeinen in Bezug auf sichere Codierung zu verbessern.
Viele Manager legen auch großen Wert auf sichere Programmierkenntnisse, wenn sie neue Entwickler einstellen, und legen Wert auf sichere Programmiererfahrung bei Entwicklern, die bereits Teil ihres Teams sind.
83% der befragten Manager geben an, dass sie Entwickler bitten, sichere Codierungspraktiken zu erlernen oder anzuwenden. Rund drei Viertel der befragten Manager geben an, dass sie Entwicklern Anreize bieten, sich mit Schulungen zum Thema Sicherheitscode zu beschäftigen. Diese Anreize reichen von formeller Anerkennung über mehr Verantwortung bis hin zu höheren Löhnen.
Es ist klar, dass Entwicklungsmanager die Einführung sicherer Codierungspraktiken auf Unternehmensebene entscheidend beeinflussen — und maßgeblich dazu beitragen, Sicherheitsexperten zu erkennen.
Aber was motiviert Entwickler dazu, mehr von diesen Champions zu entwickeln, etwas über sicheres Programmieren zu lernen? Unsere Untersuchungen zeigen, dass sie darin ein Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum drängen Entwickler also nicht auf ein sichereres Codetraining? Was steht einer Anpassung an die wachsenden organisatorischen Anforderungen im Weg?
Lösungen, um mit der Neuausrichtung zu beginnen
Entwickler wollen nicht herumsitzen und den Dozenten zuhören — sie wollen Dinge in die Finger bekommen und sie selbst ausprobieren. Sie wollen sich auf praktische Anwendungen konzentrieren — etwas, das aktuellen Schulungsprogrammen schmerzlich fehlt. Auf die Frage, wie die vom Unternehmen angebotenen Schulungen verbessert werden könnten, gaben 30% der Befragten an, dass sie es begrüßen würden, wenn die Schulung auf praktische Anwendungen und insbesondere auf authentische Arbeitsszenarien ausgerichtet wäre.
Die derzeitigen Ausbildungspraktiken bieten dies nicht. Ein neuer Ansatz ist gefragt — und als Verfechter des Wandels verfolgt Secure Code Warrior einen von Menschen geleiteten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unsere Cybersicherheit Lehrveranstaltungen bieten geführte Lernpfade an, die praktische, „spielerische“ Programmierherausforderungen beinhalten, die die Entwickler in der realen Welt nachahmen.
Dieses Training ist sprache:framework-spezifisch, im Gegensatz zu generischen Schulungen, die oft auf einem Ohr rein und auf dem anderen raus gehen.
Wenn es um die Neuausrichtung der Kultur geht, Turniere kann verwendet werden, um die Sicherheitsfähigkeiten von Programmierern zu messen, eine Grundlage für die zukünftige Entwicklung von Fähigkeiten zu schaffen und die potenziellen Sicherheitsexperten in Ihrem Entwicklungsteam ausfindig zu machen.
Wenn Sie mehr über sichere Code-Schulungen erfahren möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierungszukunft abstimmen, jetzt eine Demo buchen.
*Übergang von der Reaktion zur Prävention: Das sich wandelnde Gesicht der Anwendungssicherheit. Secure Code Warrior und Evans Data Corp. 2020
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Sicherheitslücke, nur eine ausnutzbare Schwachstelle in ihrem Code, kann zum Diebstahl von Kundendaten, zu Reputationsschäden und erheblichen finanziellen Verlusten führen. Noch nie war eine organisatorische Ausrichtung auf sichere Codierung so wichtig wie heute — aber sie zu erreichen ist leichter gesagt als getan. Deshalb hat Secure Code Warrior 2020 gemeinsam mit Evans Data Corp. eine Primärforschung* zur Einstellung von Entwicklern und Managern zu sicherem Programmieren, sicheren Codeverfahren und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit von größter Bedeutung ist, werden die traditionellen KPIs für den Projekterfolg neu definiert — aber nicht schnell genug.
Als wir Entwickler und Manager nach den wichtigsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76% Leistung bei nominierten Anwendungen
- 62% wählten Features und Funktionen aus
- Und etwas mehr als 50% ausgewählter Sicherheitscode
Wie wir sehen können, hat Sicherheit heute keine kritische Priorität.
Mit Blick auf die Zukunft ändert sich das Bild jedoch dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79% der Entwickler zu, dass sicheres Programmieren an Bedeutung gewinnen wird. Tatsächlich betrachten Entwickler Sicherheit als den KPI, dessen Bedeutung am stärksten zunehmen wird.
Obwohl das Bewusstsein für sichere Codierung zunimmt, gibt es Bedenken hinsichtlich ihrer Einführung. Entwicklern und Managern gleichermaßen reicht es aus, sich mit Sicherheitslücken zu befassen und für Code verantwortlich zu sein, um sie nachts wach zu halten. Unsere Recherche* haben ergeben, dass diese beiden Gruppen dieselben grundlegenden Bedenken teilen, was darauf hindeutet, dass eine bessere Schulung in sicheren Programmierpraktiken erforderlich ist.
Bedenken und Hindernisse im Zusammenhang mit sicheren Codierungspraktiken
Das Hauptproblem für Entwickler ist das „Einfügen von Code, der frühere Sicherheitslücken repliziert“. Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist das kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein — oder von Code, der überarbeitet werden muss und sein Team verlangsamt.
Das zweitwichtigste Problem für Entwickler ist der Umgang mit Fehlern, die von Mitarbeitern verursacht wurden. Die Einhaltung von Fristen und die Verantwortung für Code stehen ebenfalls ganz oben auf der Liste — ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den aktuellen Schulungsansätzen widerspiegelt.
Manager hingegen sehen das eher von oben nach unten. Ihr größtes Anliegen ist es, für schlechten Code oder Code, der frühere Sicherheitslücken repliziert, verantwortlich zu sein. Denn wenn ihr Team miesen Code produziert, liegt der schwarze Peter beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, steht an dritter Stelle — dies ist nicht das einzige Hindernis für sichere Programmierpraktiken.
45% nannten einen Mangel an Kommunikation zwischen Stakeholdern und Management als erhebliches Hindernis. 42% beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig gaben 40 Prozent an, dass die Schulungszeit und die Ressourcen unzureichend waren.
Aktuelle Sicherheitscode-Schulungsansätze sind nicht ausreichend — und Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?
Die Praxis der sicheren Codierung bedeutet naturgemäß, dass die Sicherheit viel früher im SDLC berücksichtigt wird. Es bedeutet, die Sicherheit von Anfang an aktiv in die Software einzubauen, so wie sie geschrieben ist, anstatt dies später zu überlassen. Mit anderen Worten, zur „Linksverschiebung“. Diese „Verschiebung nach links“ ist die Essenz der sicheren Codierungspraxis. Und das bedeutet, dass letztlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber derzeit stimmen nur 15% der Entwickler zu.
Obwohl die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem betrachten, setzt sich eine kleine, aber wachsende Kohorte nicht nur aktiv für sicheres Programmieren ein, sondern setzt sich auch innerhalb ihrer Organisation dafür ein. 29% der befragten Entwickler stimmen zu, dass es solche Ansprechpartner an ihrem Arbeitsplatz gibt. Das Problem ist, dass diese Experten für sicheren Code immer noch zu dünn gesät sind.
Mehr Sicherheitsexperten schaffen
Entwicklungsmanager sind sich der Notwendigkeit bewusst, neue Sicherheitsexperten zu identifizieren und zu schaffen und die Fähigkeiten von Entwicklern im Allgemeinen in Bezug auf sichere Codierung zu verbessern.
Viele Manager legen auch großen Wert auf sichere Programmierkenntnisse, wenn sie neue Entwickler einstellen, und legen Wert auf sichere Programmiererfahrung bei Entwicklern, die bereits Teil ihres Teams sind.
83% der befragten Manager geben an, dass sie Entwickler bitten, sichere Codierungspraktiken zu erlernen oder anzuwenden. Rund drei Viertel der befragten Manager geben an, dass sie Entwicklern Anreize bieten, sich mit Schulungen zum Thema Sicherheitscode zu beschäftigen. Diese Anreize reichen von formeller Anerkennung über mehr Verantwortung bis hin zu höheren Löhnen.
Es ist klar, dass Entwicklungsmanager die Einführung sicherer Codierungspraktiken auf Unternehmensebene entscheidend beeinflussen — und maßgeblich dazu beitragen, Sicherheitsexperten zu erkennen.
Aber was motiviert Entwickler dazu, mehr von diesen Champions zu entwickeln, etwas über sicheres Programmieren zu lernen? Unsere Untersuchungen zeigen, dass sie darin ein Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum drängen Entwickler also nicht auf ein sichereres Codetraining? Was steht einer Anpassung an die wachsenden organisatorischen Anforderungen im Weg?
Lösungen, um mit der Neuausrichtung zu beginnen
Entwickler wollen nicht herumsitzen und den Dozenten zuhören — sie wollen Dinge in die Finger bekommen und sie selbst ausprobieren. Sie wollen sich auf praktische Anwendungen konzentrieren — etwas, das aktuellen Schulungsprogrammen schmerzlich fehlt. Auf die Frage, wie die vom Unternehmen angebotenen Schulungen verbessert werden könnten, gaben 30% der Befragten an, dass sie es begrüßen würden, wenn die Schulung auf praktische Anwendungen und insbesondere auf authentische Arbeitsszenarien ausgerichtet wäre.
Die derzeitigen Ausbildungspraktiken bieten dies nicht. Ein neuer Ansatz ist gefragt — und als Verfechter des Wandels verfolgt Secure Code Warrior einen von Menschen geleiteten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unsere Cybersicherheit Lehrveranstaltungen bieten geführte Lernpfade an, die praktische, „spielerische“ Programmierherausforderungen beinhalten, die die Entwickler in der realen Welt nachahmen.
Dieses Training ist sprache:framework-spezifisch, im Gegensatz zu generischen Schulungen, die oft auf einem Ohr rein und auf dem anderen raus gehen.
Wenn es um die Neuausrichtung der Kultur geht, Turniere kann verwendet werden, um die Sicherheitsfähigkeiten von Programmierern zu messen, eine Grundlage für die zukünftige Entwicklung von Fähigkeiten zu schaffen und die potenziellen Sicherheitsexperten in Ihrem Entwicklungsteam ausfindig zu machen.
Wenn Sie mehr über sichere Code-Schulungen erfahren möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierungszukunft abstimmen, jetzt eine Demo buchen.
*Übergang von der Reaktion zur Prävention: Das sich wandelnde Gesicht der Anwendungssicherheit. Secure Code Warrior und Evans Data Corp. 2020
Inhaltsverzeichniss
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
