Blog

„Sicherheit“ ist kein Schimpfwort: Wie ein positiver Ansatz Ihr Sicherheitsprogramm verändern wird

April 17, 2019
Jaap Karan Singh

Ursprünglich veröffentlicht auf der DevSecCon-Blog.

Da ich auf beiden Seiten des Zauns war, weiß ich nur zu gut, welche Spannungen zwischen dem Entwicklungsteam und den AppSec-Spezialisten entstehen können, wenn es darum geht, bewährte Sicherheitsverfahren aufrechtzuerhalten.

Es ist schwierig; am Ende des Tages ist die Bereitstellung von Softwarefunktionen die Hauptpriorität eines Entwicklers. Sie müssen schön und funktionell sein und dazu beitragen, die Leistungsfähigkeit der Anwendung zur Geltung zu bringen. Da heutzutage in der Regel agile Entwicklungspraktiken im Einsatz sind, müssen diese Funktionen innerhalb strenger Fristen fertiggestellt werden... und Sicherheit steht selten ganz oben auf der Liste der Bedenken, wenn so viel anderes auf dem Spiel steht.

Sicherheit wird als Domäne des AppSec-Teams angesehen, das die wenig beneidenswerte Aufgabe hat, Code zu scannen (oder noch schlimmer: ihn manuell, Zeile für Zeile zu überprüfen) und dem Entwicklungsteam zu melden, dass sein Code unsicher oder sogar völlig unbrauchbar ist. Sie sind die Spielverderber, die ihre gute Arbeit auseinandernehmen, Innovationen zum Erliegen bringen und Entwicklern generell Kopfschmerzen bereiten. Letzten Endes lassen sich viele Sicherheitsprobleme ganz einfach lösen. „Vielleicht könnte nur eine einzige Codezeile eine anfällige Hintertür innerhalb von Minuten verstärken.

Aber hier ist das Problem. Da „Sicherheit“ so ein Synonym für eine negative Erfahrung ist, beschäftigen sich Entwickler einfach nicht so intensiv damit, wie sie sollten. Diese einzeiligen Korrekturen finden nicht statt: Schließlich stoßen die AppSec-Leute ständig auf dieselben Probleme. Es muss ziemlich verrückt für sie sein, immer noch auf SQL-Injection-Fehler hinzuweisen, mehr als zwanzig Jahre, nachdem wir sie zum ersten Mal entdeckt haben (und ihre anschließende Behebung).

Was wir bisher getan haben, funktioniert bei weitem nicht so effektiv, wie wir es uns erhofft hatten. Wir müssen uns darauf konzentrieren, die Brücke zwischen Entwicklern und AppSec-Spezialisten zu reparieren und eine positive Sicherheitskultur anzustreben, in der Entwickler die Tools und Schulungen erhalten, um in diesem Bereich wirklich etwas bewirken zu können.

Wer weiß? Vielleicht verlieben sie sich sogar in sie wie ich!

Positive Sicherheit ist der schnellste und einfachste Weg, die Anwendungssicherheit zu verbessern.

City „und nein, es geht nicht um irgendeinen Haufen um immaterielle Ergebnisse. Es ist ein absolut wichtiger Bestandteil des Erfolgsrezepts für sichere Codierung.

Entwickler haben den Schlüssel zur Verbesserung der Sicherheit von Beginn der Produktion an in der Hand, indem sie in erster Linie sicheren Code schreiben. Durch die Schaffung einer positiven Sicherheitskultur und die Begeisterung der Entwickler für die Anwendungssicherheit können häufig auftretende Sicherheitslücken behoben werden, bevor sie es im AppSec-Land überhaupt zu einem Scan oder einer manuellen Codeüberprüfung schaffen.

Es ist dreißigmal teurer, Sicherheitslücken in bereits festgeschriebenem Code zu behebenDaher ist die Suche nach Schulungen, die den Stärken der Entwickler gerecht werden, Interesse wecken und tatsächlich funktionieren, ein großer Schritt zur zukünftigen Kostensenkung bei der Identifizierung und Behebung dieser wiederkehrenden Sicherheitslücken.

Positive, entwicklerorientierte Initiativen fördern die richtige Sicherheitskultur.

Wenn alle mit den besten Sicherheitsmethoden auf derselben Wellenlänge sind, ist eine positive Sicherheitskultur ein glückliches, wichtiges Nebenprodukt.

Positive, skalierbare, auf Entwickler ausgerichtete Initiativen fördern die richtige Sicherheitskultur. Die Einbindung der problemlösenden, kreativen Köpfe der Entwickler ist unerlässlich, um sie für sich zu gewinnen und sicherzustellen, dass neue Mitarbeiter schnell mit den Sicherheitserwartungen des Teams Schritt halten können. Nehmen Sie Kontakt auf für einen Überblick darüber, wie sich die Beziehung zwischen Entwicklern im Bereich Sicherheit entwickelt hat, und Ideen zur Einführung eines erfolgreichen Sicherheitsbewusstseinsprogramms in Ihrem eigenen Unternehmen.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo