Blog

Wo steht Secure Code auf der Prioritätenliste des Entwicklungsteams?

April 5, 2022
Sicherer Codekrieger

Die wachsende Zahl von Cybersicherheitsangriffen sowie deren zunehmende Raffinesse haben zu Veränderungen in allen Sektoren und Branchen auf der ganzen Welt geführt. Jeder versucht, „nach links zu wechseln“ und so früh wie möglich Sicherheit in all seine Prozesse und Verfahren zu integrieren. Die Situation hat sogar zu völlig neuen Bewegungen geführt, die darauf abzielen, die Cyberabwehr zu verbessern wie DevSecOps, bei dem Sicherheit in die eigentliche Struktur der Entwicklung neuer Software und Anwendungen integriert ist.

Viele dieser Veränderungen fallen der Entwickler-Community zu Füßen. Da sie es sind, die neue Software und Anwendungen entwickeln, schreiben und programmieren, scheint es eine gute Idee zu sein, sie zu bitten, sicherere Codierungspraktiken einzuführen. Schließlich können Sie nicht weiter nach links wechseln, als wenn neue Anwendungen zum ersten Mal erstellt werden.

Aber wie steht die Entwickler-Community zu dieser Verantwortung? Was denken Entwickler heute über ihre neue Rolle als Sicherheitsexperten, nachdem sie traditionell fast ausschließlich danach bewertet wurden, wie schnell sie programmieren konnten? Und haben sie das Gefühl, dass das Management ihrer Unternehmen diese Bemühungen mit qualitativ hochwertigen Schulungen, besseren Belohnungen und der Anerkennung unterstützt, die sie für die Übernahme dieser wichtigen neuen Verantwortung verdienen?

Im zweiten Jahr haben wir in Zusammenarbeit mit Evans Data Corp. eine umfassende Umfrage unter der globalen Entwickler-Community durchgeführt, die sich mit den Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren wahrgenommenen Auswirkungen und Relevanz im Softwareentwicklungszyklus (SDLC) befasst. Die Ergebnisse waren in vielerlei Hinsicht ziemlich überraschend.

Umfrage zum Stand der entwicklerorientierten Sicherheit 2022

Die Secure Code Warrior State of Developer-Driven Security Survey wurde im Dezember 2021 von Evans Data Corp durchgeführt. 1.200 aktiven Softwareentwicklern, die im asiatisch-pazifischen Raum, in Europa und Nordamerika arbeiten, wurden Fragen zu Softwarecodierung, Sicherheitsbewusstsein, Schulung, Support, Motivation und anderen Themen gestellt. Die Umfrage wurde auf Englisch durchgeführt und bei Bedarf übersetzt, um eine genaue globale Perspektive zu erhalten. Zu den Umfrageteilnehmern gehörten sowohl Entwickler, die neue Anwendungen entwickeln, als auch Manager aus der Entwickler-Community.

Einige überraschende Ergebnisse

Ein detailliertes Whitepaper (Die Herausforderungen (und Möglichkeiten) zur Verbesserung der Softwaresicherheit) und ein Bericht (The State of Developer-Driven Security, 2022), die sich mit allen Aspekten der Umfrage befassen, werden am Montag, den 11. April veröffentlicht. Das Whitepaper enthält unsere Analyse der Ergebnisse und Bedenken der Community in Bezug auf sichere Codierungspraktiken sowie Empfehlungen für Unternehmen, Entwicklerteams bei der Verbesserung der Softwaresicherheit zu unterstützen.

Einige dieser Herausforderungen werden wahrscheinlich Fragen für jeden aufwerfen, der mit Entwicklern in ihren Organisationen arbeitet, sowie für diejenigen, die selbst in der Entwickler-Community tätig sind — das haben sie sicherlich für uns getan.

Beispielsweise gaben nur 14% der Befragten die Anwendungssicherheit heute als oberste Priorität an. Stattdessen konzentrierten sie sich weiterhin auf traditionellere Kennzahlen wie die Anwendungsleistung und die Priorisierung von Funktionen und Funktionen.

Sicherheit hatte eine so niedrige Priorität, dass 67% der befragten Entwickler zugaben, routinemäßig bekannte Sicherheitslücken und Exploits in ihrem Code zu hinterlassen. Das taten sie entweder aufgrund knapper Fristen, bei denen Funktionalität Vorrang vor Sicherheit hatte, oder weil sie einfach nicht über die erforderliche Schulung oder das erforderliche Wissen zur Behebung von Sicherheitsproblemen verfügten.

In vielen Fällen gaben Entwickler an, dass ihre Organisationen nicht definieren, was sicheren Code ausmacht, und dass sie keine angemessene Schulung oder Unterstützung anbieten, um diese Situation zu ändern.

Trotz einiger negativer Ergebnisse war jedoch auch klar, dass sich die Einstellungen ändern. Eine große Mehrheit der Entwickler (66%) ging davon aus, dass Sicherheit in den nächsten 12 bis 18 Monaten zu einer höheren Priorität werden würde, während 82% der Personalmanager, die an der Umfrage teilnahmen, Interesse daran bekundeten, Entwickler einzustellen, die sich mit Sicherheit auskennen, und nicht.

Aus den Umfrageergebnissen geht zwar hervor, dass die Entwickler-Community und die Organisationen, mit denen sie zusammenarbeiten, vor enormen Veränderungen stehen, aber glücklicherweise nehmen auch die Pläne für die nahe und langfristige Zukunft schnell Gestalt an.

Seien Sie gespannt auf das Whitepaper und den Bericht mit den vollständigen Umfrageergebnissen sowie Expertenkommentaren zu den Herausforderungen im Zusammenhang mit aktuellen sicheren Codierungspraktiken und den Möglichkeiten, die Unternehmen nutzen können, um die Sicherheitsfähigkeiten von Entwicklern — und letztlich die Softwaresicherheit — zu verbessern.

Schauen Sie sich das an Sicherer Codekrieger Blogseiten mit mehr Informationen über Cybersicherheit, die zunehmend gefährliche Bedrohungslandschaft und um zu erfahren, wie Sie innovative Technologien und Schulungen einsetzen können, um Ihr Unternehmen und Ihre Kunden besser zu schützen.

Slogan

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
Slogan

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Blog
Filter Label
This is some text inside of a div block.

The Future of AI Software Governance Is Built on Strong Partnerships

Discover why Secure Code Warrior is becoming a channel-first company and how trusted partners help organizations adopt AI Software Governance securely and at scale.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Citizen AI by Secure Code Warrior: Build an AI-Ready Workforce

Secure Code Warrior's AI literacy program for non-developer employees.

Learn More
Blog
Filter Label
This is some text inside of a div block.

Why most CISOs are navigating AI adoption blindfolded (and how they can remove it)

Today, Secure Code Warrior issued an all-new white paper covering a prescriptive, directional AI adoption model that security leaders can use to identify their adoption stage and make real progress in bringing the AI security risks within their organization under control.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo