Blog

Mit wiederholbaren Fähigkeiten zum sicheren Programmieren nach links verschieben (und die Einhaltung der Vorschriften erreichen)

November 10, 2022
Sicherer Codekrieger

Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.

Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.

Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.

Warum?

Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.

In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.

Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.

Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.

Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich

Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.

Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.

Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.

Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.

Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?

Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.

Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.

Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.

Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.

Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.

Zur weiteren Lektüre

Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo