Die Vorteile des Benchmarkings von Sicherheitskompetenzen für Entwickler
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Fazit
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Der zunehmende Fokus auf sicheren Code und die Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden. Tools wie der Trust Score von Secure Code Warrior helfen dabei, ihre Fortschritte zu messen und zu verbessern.
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Fazit
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Fazit
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Matias is a researcher and developer with more than 15 years of hands-on software security experience. He has developed solutions for companies such as Fortify Software and his own company Sensei Security. Over his career, Matias has led multiple application security research projects which have led to commercial products and boasts over 10 patents under his belt. When he is away from his desk, Matias has served as an instructor for advanced application security training courses and regularly speaks at global conferences including RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec and BruCon.
Matias holds a Ph.D. in Computer Engineering from Ghent University, where he studied application security through program obfuscation to hide the inner workings of an application.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Fazit
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Inhaltsverzeichniss
Matias Madou, Ph.D. is a security expert, researcher, and CTO and co-founder of Secure Code Warrior. Matias obtained his Ph.D. in Application Security from Ghent University, focusing on static analysis solutions. He later joined Fortify in the US, where he realized that it was insufficient to solely detect code problems without aiding developers in writing secure code. This inspired him to develop products that assist developers, alleviate the burden of security, and exceed customers' expectations. When he is not at his desk as part of Team Awesome, he enjoys being on stage presenting at conferences including RSA Conference, BlackHat and DefCon.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
