Mit wiederholbaren Fähigkeiten zum sicheren Programmieren nach links verschieben (und die Einhaltung der Vorschriften erreichen)
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.
Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.
Warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.
Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.
Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.
Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?
Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.
Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.
Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.
Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.
Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.
Zur weiteren Lektüre
Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.
Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.
Warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.
Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.
Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.
Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?
Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.
Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.
Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.
Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.
Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.
Zur weiteren Lektüre
Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.
Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.
Warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.
Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.
Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.
Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?
Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.
Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.
Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.
Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.
Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.
Zur weiteren Lektüre
Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
This article was written by Secure Code Warrior's team of industry experts, committed to empowering developers with the knowledge and skills to build secure software from the start. Drawing on deep expertise in secure coding practices, industry trends, and real-world insights.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.
Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.
Warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.
Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.
Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.
Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?
Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.
Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.
Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.
Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.
Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.
Zur weiteren Lektüre
Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
Inhaltsverzeichniss
Secure Code Warrior makes secure coding a positive and engaging experience for developers as they increase their skills. We guide each coder along their own preferred learning pathway, so that security-skilled developers become the everyday superheroes of our connected world.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
