Neuausrichtung Ihres Unternehmens im Hinblick auf sichere Codierung — Barrieren, Bedenken und aktive Lösungen
.avif)
In unserer hypervernetzten Welt hat fast jedes Unternehmen eine gemeinsame Achillesferse. Eine einzige Sicherheitslücke, nur eine ausnutzbare Schwachstelle in ihrem Code, kann zum Diebstahl von Kundendaten, zu Reputationsschäden und erheblichen finanziellen Verlusten führen. Noch nie war eine organisatorische Ausrichtung auf sichere Codierung so wichtig wie heute — aber sie zu erreichen ist leichter gesagt als getan. Deshalb hat Secure Code Warrior 2020 gemeinsam mit Evans Data Corp. eine Primärforschung* zur Einstellung von Entwicklern und Managern zu sicherem Programmieren, sicheren Codeverfahren und Sicherheitsabläufen durchgeführt.
In diesem Umfeld, in dem Cybersicherheit von größter Bedeutung ist, werden die traditionellen KPIs für den Projekterfolg neu definiert — aber nicht schnell genug.
Als wir Entwickler und Manager nach den wichtigsten Prioritäten im Softwareentwicklungsprozess fragten:
- 76% Leistung bei nominierten Anwendungen
- 62% wählten Features und Funktionen aus
- Und etwas mehr als 50% ausgewählter Sicherheitscode
Wie wir sehen können, hat Sicherheit heute keine kritische Priorität.
Mit Blick auf die Zukunft ändert sich das Bild jedoch dramatisch. Auf die Frage nach den wichtigsten zukünftigen Prioritäten für die Messung des Projekterfolgs stimmen 79% der Entwickler zu, dass sicheres Programmieren an Bedeutung gewinnen wird. Tatsächlich betrachten Entwickler Sicherheit als den KPI, dessen Bedeutung am stärksten zunehmen wird.
Obwohl das Bewusstsein für sichere Codierung zunimmt, gibt es Bedenken hinsichtlich ihrer Einführung. Entwicklern und Managern gleichermaßen reicht es aus, sich mit Sicherheitslücken zu befassen und für Code verantwortlich zu sein, um sie nachts wach zu halten. Unsere Recherche* haben ergeben, dass diese beiden Gruppen dieselben grundlegenden Bedenken teilen, was darauf hindeutet, dass eine bessere Schulung in sicheren Programmierpraktiken erforderlich ist.
Bedenken und Hindernisse im Zusammenhang mit sicheren Codierungspraktiken
Das Hauptproblem für Entwickler ist das „Einfügen von Code, der frühere Sicherheitslücken repliziert“. Da Entwickler nach der Qualität ihres Codes beurteilt werden, ist das kaum überraschend. Kein Entwickler möchte die Quelle von unsicherem Code sein — oder von Code, der überarbeitet werden muss und sein Team verlangsamt.
Das zweitwichtigste Problem für Entwickler ist der Umgang mit Fehlern, die von Mitarbeitern verursacht wurden. Die Einhaltung von Fristen und die Verantwortung für Code stehen ebenfalls ganz oben auf der Liste — ebenso wie die Tatsache, dass das Erlernen von sicherem Code eine Herausforderung darstellt, was die Unzufriedenheit der Entwickler mit den aktuellen Schulungsansätzen widerspiegelt.
Manager hingegen sehen das eher von oben nach unten. Ihr größtes Anliegen ist es, für schlechten Code oder Code, der frühere Sicherheitslücken repliziert, verantwortlich zu sein. Denn wenn ihr Team miesen Code produziert, liegt der schwarze Peter beim Manager.
Die Tatsache, dass der Lernprozess herausfordernd ist, steht an dritter Stelle — dies ist nicht das einzige Hindernis für sichere Programmierpraktiken.
45% nannten einen Mangel an Kommunikation zwischen Stakeholdern und Management als erhebliches Hindernis. 42% beklagen den Mangel an sicheren Programmierkenntnissen bei Neueinstellungen. Gleichzeitig gaben 40 Prozent an, dass die Schulungszeit und die Ressourcen unzureichend waren.
Aktuelle Sicherheitscode-Schulungsansätze sind nicht ausreichend — und Manager erkennen, dass ein neuer Ansatz erforderlich ist.
Wer ist für sichere Code-Praktiken verantwortlich?

Die Praxis der sicheren Codierung bedeutet naturgemäß, dass die Sicherheit viel früher im SDLC berücksichtigt wird. Es bedeutet, die Sicherheit von Anfang an aktiv in die Software einzubauen, so wie sie geschrieben ist, anstatt dies später zu überlassen. Mit anderen Worten, zur „Linksverschiebung“. Diese „Verschiebung nach links“ ist die Essenz der sicheren Codierungspraxis. Und das bedeutet, dass letztlich jeder in einer Organisation für sicheren Code verantwortlich sein sollte. Aber derzeit stimmen nur 15% der Entwickler zu.
Obwohl die meisten Entwickler Sicherheit immer noch als das Problem von jemand anderem betrachten, setzt sich eine kleine, aber wachsende Kohorte nicht nur aktiv für sicheres Programmieren ein, sondern setzt sich auch innerhalb ihrer Organisation dafür ein. 29% der befragten Entwickler stimmen zu, dass es solche Ansprechpartner an ihrem Arbeitsplatz gibt. Das Problem ist, dass diese Experten für sicheren Code immer noch zu dünn gesät sind.
Mehr Sicherheitsexperten schaffen
Entwicklungsmanager sind sich der Notwendigkeit bewusst, neue Sicherheitsexperten zu identifizieren und zu schaffen und die Fähigkeiten von Entwicklern im Allgemeinen in Bezug auf sichere Codierung zu verbessern.
Viele Manager legen auch großen Wert auf sichere Programmierkenntnisse, wenn sie neue Entwickler einstellen, und legen Wert auf sichere Programmiererfahrung bei Entwicklern, die bereits Teil ihres Teams sind.
83% der befragten Manager geben an, dass sie Entwickler bitten, sichere Codierungspraktiken zu erlernen oder anzuwenden. Rund drei Viertel der befragten Manager geben an, dass sie Entwicklern Anreize bieten, sich mit Schulungen zum Thema Sicherheitscode zu beschäftigen. Diese Anreize reichen von formeller Anerkennung über mehr Verantwortung bis hin zu höheren Löhnen.
Es ist klar, dass Entwicklungsmanager die Einführung sicherer Codierungspraktiken auf Unternehmensebene entscheidend beeinflussen — und maßgeblich dazu beitragen, Sicherheitsexperten zu erkennen.
Aber was motiviert Entwickler dazu, mehr von diesen Champions zu entwickeln, etwas über sicheres Programmieren zu lernen? Unsere Untersuchungen zeigen, dass sie darin ein Mittel zur Steigerung ihrer Produktivität und Effizienz sehen.
Warum drängen Entwickler also nicht auf ein sichereres Codetraining? Was steht einer Anpassung an die wachsenden organisatorischen Anforderungen im Weg?
Lösungen, um mit der Neuausrichtung zu beginnen
Entwickler wollen nicht herumsitzen und den Dozenten zuhören — sie wollen Dinge in die Finger bekommen und sie selbst ausprobieren. Sie wollen sich auf praktische Anwendungen konzentrieren — etwas, das aktuellen Schulungsprogrammen schmerzlich fehlt. Auf die Frage, wie die vom Unternehmen angebotenen Schulungen verbessert werden könnten, gaben 30% der Befragten an, dass sie es begrüßen würden, wenn die Schulung auf praktische Anwendungen und insbesondere auf authentische Arbeitsszenarien ausgerichtet wäre.
Die derzeitigen Ausbildungspraktiken bieten dies nicht. Ein neuer Ansatz ist gefragt — und als Verfechter des Wandels verfolgt Secure Code Warrior einen von Menschen geleiteten Ansatz, um Unternehmen bei der Neuausrichtung auf sichere Codierung zu unterstützen. Unsere Cybersicherheit Lehrveranstaltungen bieten geführte Lernpfade an, die praktische, „spielerische“ Programmierherausforderungen beinhalten, die die Entwickler in der realen Welt nachahmen.
Dieses Training ist sprache:framework-spezifisch, im Gegensatz zu generischen Schulungen, die oft auf einem Ohr rein und auf dem anderen raus gehen.
Wenn es um die Neuausrichtung der Kultur geht, Turniere kann verwendet werden, um die Sicherheitsfähigkeiten von Programmierern zu messen, eine Grundlage für die zukünftige Entwicklung von Fähigkeiten zu schaffen und die potenziellen Sicherheitsexperten in Ihrem Entwicklungsteam ausfindig zu machen.
Wenn Sie mehr über sichere Code-Schulungen erfahren möchten, die die Bedürfnisse von Managern, Entwicklern und der Organisation auf eine sichere Codierungszukunft abstimmen, jetzt eine Demo buchen.
*Übergang von der Reaktion zur Prävention: Das sich wandelnde Gesicht der Anwendungssicherheit. Secure Code Warrior und Evans Data Corp. 2020
Govern AI-driven development before it ships
Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.
Explore more blogs
Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.
%252520%252520(3).avif)
Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Security as culture: How Blue Prism cultivates world-class secure developers
Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

One Culture of Security: How Sage built their security champions program with agile secure code learning
Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.
.webp)
Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)
Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.
Secure AI-driven development before it ships
See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

