Die Millionen-Dollar-Frage, die jeder Entwickler seinen potenziellen Arbeitgebern stellen sollte
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig.
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Chief Executive Officer, Chairman, and Co-Founder
Pieter Danhieux is a globally recognized security expert, with over 12 years experience as a security consultant and 8 years as a Principal Instructor for SANS teaching offensive techniques on how to target and assess organizations, systems and individuals for security weaknesses. In 2016, he was recognized as one of the Coolest Tech people in Australia (Business Insider), awarded Cyber Security Professional of the Year (AISA - Australian Information Security Association) and holds GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA certifications.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Inhaltsverzeichniss
Chief Executive Officer, Chairman, and Co-Founder
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
