Blog

Die Vorteile des Benchmarkings von Sicherheitskompetenzen für Entwickler

October 22, 2024
Matias Madou, Ph.D.

Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.

Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.

Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?

Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.

Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.

Das Argument für sicheres Design

Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.

Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.

All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.

Die Schönheit von Benchmarks

Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.

Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.

Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.

In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.

Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.

Fazit

Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.

Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo