Einblicke in sichere Codes

For years, security leaders have invested heavily in secure coding programs, yet a fundamental question remains unanswered: Do we truly know who is committing code, and do they possess the skills required to write, review, and ultimately deliver secure code?

Traditional "shift-left" approaches leave enterprises struggling with massive blind spots when it comes to discovering and onboarding developers for secure coding programs. As program administrators rely on manual checks, spreadsheets and HR org structures to track developer secure coding skills, "shadow developers" who contribute code across critical code bases but lack security proficiency often emerge. This reality severely undermines secure SDLC goals and complicates governance, making it difficult to prove security competency when faced with internal or external reviews.

Secure Code Warrior’s Trust Agent eliminates this risk, transforming your secure coding program into a continuously monitored, verifiable defense that gives CISOs and AppSec leaders the confidence to prove their developers possess the necessary security proficiency required, on every commit.

Continuous Oversight and Assurance with Trust Agent

Without continuous oversight, developer risk remains hidden. Trust Agent delivers ongoing visibility by operationalizing security at the code commit level.

Continuous Developer Discovery: Knowing Your Scope

Before you can secure your codebase, you must know who is touching it.

Trust Agent automatically scans your integrated repositories to discover all active code contributors across your entire codebase. This helps address a critical challenge of onboarding - a continuous process - and answers the question: do you know when new engineers or contractors join, and whether they are receiving immediate, relevant secure coding education? By continuously monitoring commits, we ensure every developer is immediately identified and their secure coding journey can begin, eliminating the typical onboarding delays and ensuring comprehensive program scope.

‍

Verified Competency: Monitoring Code, Not Just Learning Completion

In addition to discovering all code contributors, Trust Agent transforms learning data into hard evidence by continuously monitoring secure coding skills applied in real-time. It provides deep observability by correlating every code commit with the developer's verified language-specific secure coding proficiency.

This is crucial for mandates like PCI DSS 4.0 (Requirement 6.2.2), which specifically calls for secure code training every 12 months in the language or framework developers commits code in. Trust Agent gives you the auditable evidence needed to prove that security competency is aligned with the languages and frameworks used in your critical applications.

In addition, Trust Agent provides immediate insights into your risk posture by pinpointing which teams or code repositories have high volumes of commits from developers without adequate security skills. This visibility enables program administrators to easily assign the right education to the right developers based on the most relevant, real-time data.

Integrated Governance and Policy Control

Ultimately, governance must be applied to truly lower developer security risk. Trust Agent offers the ability to make security proficiency mandatory by moving controls directly into existing dev workflows, with the ability to define commit policies based on your organization's risk tolerance. Trust Agent automates governance directly in the commit workflow, with policy gates that can be configured to log, warn, or block pull requests if a developer's secure coding skill level is insufficient. This integrated governance is the key to truly ensuring security is a requirement and not an optional suggestion.
‍

Securing the Future of Development

The move to verifiable secure coding proficiency is not just about passing audits- at the end of the day, it’s about shipping innovative, secure code. Even or especially with the rise of AI-assisted development, the fundamental principle remains: developers must be security-proficient to truly lower risk.  By making developer secure coding competency a measurable requirement, SCW Trust Agent is the critical piece that ensures your organization not only meets compliance and regulatory obligations, but fundamentally strengthens its security posture from within.

To learn more, book a demo or reach out to your Customer Success Manager today!

‍

KI-gestützte Entwicklung ist nicht mehr in Sicht — sie ist da und verändert rasant die Art und Weise, wie Software geschrieben wird. Tools wie GitHub Copilot, Cline, Roo, Cursor, Aider und Windsurf machen Entwickler zu eigenen Co-Piloten, ermöglichen eine schnellere Iteration und beschleunigen alles, vom Prototyping bis hin zu großen Refactoring-Projekten.

Aber mit diesem Wandel geht ein bekanntes Spannungsfeld einher: Geschwindigkeit versus Sicherheit.

Bei Secure Code Warrior haben wir viel darüber nachgedacht, wie wir Entwicklern helfen können, bei der Arbeit mit KI-Codierungstools sicher zu bleiben. Deshalb freuen wir uns, etwas Einfaches, Leistungsstarkes und sofort Nützliches auf den Markt zu bringen: unser KI-Sicherheitsregeln — eine öffentliche, kostenlos nutzbare Ressource, die allen auf GitHub zur Verfügung steht. Sie müssen kein Secure Code Warrior-Kunde sein, um sie nutzen zu können. Wir stellen diese Regeln als kostenlose, von der Community betriebene Grundlage zur Verfügung, die jeder übernehmen und auf seine eigenen Projekte anwenden kann.

Diese Regeln sind so konzipiert, dass sie als Leitplanken dienen und KI-Tools zu sichereren Programmierpraktiken bewegen, selbst wenn Entwickler mit halsbrecherischer Geschwindigkeit voranschreiten.

Zusammenfassung für alle, die es eilig haben:

Da KI-Codierungstools wie Copilot und Cursor für die moderne Entwicklung unverzichtbar werden, darf Sicherheit nicht zu kurz kommen. Aus diesem Grund haben wir eine Reihe leichter, sicherheitsorientierter Regelsätze entwickelt, die die KI-Codegenerierung auf sicherere Standardwerte ausrichten sollen.

• Deckt Web-Frontend, Backend und Mobile ab
• Einfach in KI-Tools zu integrieren
• Öffentlich, kostenlos und bereit, in Ihre eigenen Projekte übernommen zu werden

Erkunden Sie die Regeln → https://github.com/SecureCodeWarrior/ai-security-rules

Machen wir sicheres Programmieren zur Standardeinstellung — auch mit KI an der Tastatur.

1. Warum Regeln im Zeitalter der KI-gestützten Codierung wichtig sind

KI-Codierungstools sind unglaublich hilfreich, aber nicht unfehlbar. Sie können zwar schnell funktionierenden Code generieren, aber oft fehlt ihnen die Nuance, um die spezifischen Standards, Konventionen und Sicherheitsrichtlinien eines bestimmten Teams oder Projekts zu verstehen.

Hier kommen Regeldateien auf Projektebene ins Spiel.

Moderne KI-Tools wie Cursor und Copilot unterstützen Konfigurationsdateien, die beeinflussen, wie Code generiert wird. Diese Regeldateien wirken wie ein Flüstern im Ohr der KI und sagen ihr:

„In diesem Projekt verketten wir niemals SQL-Strings.“
„Bevorzugen Sie das Abrufen mit sicheren Headern gegenüber unsicheren Standardeinstellungen.“
„Vermeiden Sie die Verwendung von eval (), es sei denn, Sie möchten eine Sicherheitsüberprüfung.“

Diese Regeln sind keine Wunderwaffe oder ein Ersatz für strenge Code-Review-Praktiken und Sicherheitstools, sie können jedoch dazu beitragen, KI-generierten Code an die Praktiken anzupassen, die Teams bereits befolgen oder für eine sichere Entwicklung befolgen sollten.

2. Was wir gebaut haben (und was nicht)

Unsere Starter-Regeln sind ab sofort in einer öffentliches GitHub-Repository. Sie sind:

• Organisiert nach Domain — einschließlich Web-Frontend, Backend und Handy
  
• Sicherheitsorientiert — behandelt wiederkehrende Probleme wie Injektionsfehler, unsichere Handhabung, CSRF-Schutz, schwache Authentifizierungsabläufe und mehr
  
• Geringes Design — sie sollen ein praktischer Ausgangspunkt sein, kein erschöpfendes Regelwerk

Wir wissen, wie wertvoll Ihre KI-Kontextfenster sind und wie schnell der Code diese Token verbraucht. Deshalb haben wir unsere Regeln klar und präzise gehalten und uns strikt auf die Sicherheit konzentriert. Wir haben uns bewusst dafür entschieden, sprach- oder rahmenspezifische Leitlinien zu vermeiden und uns stattdessen für allgemein anwendbare, wirkungsvolle Sicherheitspraktiken entschieden, die in einer Vielzahl von Umgebungen funktionieren, ohne dass wir uns zu Architektur oder Design äußern.

Diese Regeln sind so geschrieben, dass sie leicht in die unterstützten Konfigurationsformate von KI-Tools übernommen werden können, ohne dass sie überarbeitet werden müssen. Stellen Sie sich diese als erste Reihe von Richtlinien vor, die die KI zu sicheren Standardwerten bewegen.

3. Eine neue Verteidigungsebene

So sieht das in der Praxis aus:

• Wenn die KI Code vorschlägt, der Benutzereingaben verarbeitet, tendiert sie zur Validierung und Kodierung, nicht zur bloßen Verarbeitung.
  
• Beim Erstellen von Datenbankabfragen empfiehlt es sich eher, eine Parametrisierung als eine Verkettung von Zeichenketten zu empfehlen.
  
• Bei der Generierung von Frontend-Authentifizierungsabläufen ist es wahrscheinlicher, dass die KI Best Practices für die Token-Handhabung fördert und nicht für unsichere lokale Speicher-Hacks.

Nichts davon ersetzt das strategische Risikomanagement für Entwickler im Rahmen eines Sicherheitsprogramms, einschließlich kontinuierlicher Sicherheitsverbesserungen. Es macht auch sicherheitsbewusste Entwickler nicht überflüssig, zumal sie zunehmend LLMs auffordern und KI-generierten Code überprüfen. Diese Leitplanken bieten eine sinnvolle Schutzebene — vor allem, wenn Entwickler schnell agieren, Multitasking betreiben oder dem Tool einfach ein wenig zu sehr vertrauen.

Was kommt als Nächstes?

Dies ist kein fertiges Produkt — es ist ein Ausgangspunkt.

Mit der Weiterentwicklung der KI-Codierungstools muss sich auch unser Ansatz zur sicheren Entwicklung weiterentwickeln. Unser KI-Sicherheitsregeln sind kostenlos nutzbar, anpassbar und an Ihre Projekte erweiterbar. Wir sind bestrebt, diese Regelsätze kontinuierlich weiterzuentwickeln, und wir würden uns über Ihre Meinung freuen. Probieren Sie sie aus und teilen Sie uns Ihre Meinung mit.

Entdecke die Regeln auf GitHub
Lesen Sie die Richtlinie zur Verwendung von Regeln in SCW Explore

KI-gestütztes Programmieren verändert bereits die Art und Weise, wie wir Software erstellen. Stellen wir sicher, dass sie von Anfang an sicher ist.

Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.

Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.

Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.

Warum?

Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.

In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.

Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.

Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.

Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich

Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.

Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.

Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.

Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.

Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?

Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.

Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.

Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.

Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.

Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.

Zur weiteren Lektüre

Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.

Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.

Bericht: Der Stand der entwicklerorientierten Sicherheit.

Die gleichen 10 Software-Sicherheitslücken haben in den letzten über 20 Jahren mehr Sicherheitslücken verursacht als alle anderen. Dennoch entscheiden sich viele Unternehmen immer noch für Abhilfemaßnahmen nach Sicherheitslücken und Ereignissen und wursteln dabei die menschlichen und geschäftlichen Auswirkungen des Ganzen durch. Doch jetzt weist eine neue Forschungsstudie auf eine neue, von Menschen geleitete Richtung hin.

‍Im Folgenden werden Erkenntnisse aus einer von Secure Code Warrior mit Evans Data Corp durchgeführten Studie mit dem Titel „Shifting from reaction to prevention: The changing face of application security“ (2021) erörtert, in der die Einstellung von Entwicklern zu sicherer Codierung, sicheren Codepraktiken und Sicherheitsabläufen untersucht wurde. Laden Sie das Whitepaper herunter hier.

‍‍In der Studie, die bald veröffentlicht wird, wurden Entwickler und Entwicklungsmanager zu den Aktivitäten befragt, die sie mit sicherer Codierung verbinden. Die drei wichtigsten Antworten waren:

• Verwendung von Scan-Tools für bereitgestellte Anwendungen.
• Manuelles Überprüfen des Codes auf Sicherheitslücken.
• Die aktive und kontinuierliche Praxis, Software zu schreiben, die vor Sicherheitslücken geschützt ist.
  ‍

Also, was sagt uns das? Zwei der drei häufigsten Antworten konzentrieren sich immer noch auf reaktive Ansätze. Die erste hängt von den Tools (Scannern) ab und die zweite davon, dass der Entwickler (d. h. der Mensch) manuelle Überprüfungen durchführt — in beiden Fällen nach der Code ist geschrieben. Sicherheitslücken, die mit diesen Methoden entdeckt wurden, müssen zur Überarbeitung an das Entwicklungsteam zurückgeschickt werden, was sich auf die Projektzeitpläne und Projektkosten auswirkt.

Gleichzeitig stützen sich zwei der drei nominierten Aktivitäten auf die menschliche Komponente — ein Hinweis darauf, dass Sicherheit zunehmend als menschliches Problem wahrgenommen wird. Von allen nominierten Aktivitäten ist jedoch Nr. 3, in der der Faktor Mensch identifiziert wird, am aussagekräftigsten beim Schreiben von Software, die in erster Linie vor Sicherheitslücken geschützt ist. Dies unterstreicht eine Verlagerung nach links — einen proaktiven und präventiven Ansatz, bei dem Sicherheit von Anfang des Softwareentwicklungszyklus an in die Software integriert wird.

Reaktiv kann TEUER bedeuten

Laut einer IBM-Studie* ist es dreißigmal teurer, Sicherheitslücken im Post-Release-Code zu beheben, als wenn sie zu Beginn gefunden und behoben würden. Das ist ein starker Anreiz für einen neuen proaktiven und menschlicheren Ansatz zur Verteidigung der Softwaresicherheit, der es Entwicklern ermöglicht, von Anfang an sicherer zu programmieren.

Das könnte man einen nennen von Menschen geführte Verteidigung. Aber um Entwickler dazu zu bringen, sich um Sicherheit zu kümmern, muss sie Teil ihrer täglichen Denk- und Programmierweise werden. Dies ist ein Ruf nach neuen Trainingsansätzen, die für die tägliche Arbeit der Entwickler von großer Bedeutung sind und sie dazu anregen, zu lernen — von den aktuellen Schulungsmodellen kann man nichts behaupten.

Um eine proaktive Sicherheitskultur zu schaffen, sind neue Schulungen erforderlich, die:

• macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, da sie ihre Fähigkeiten im Bereich Softwaresicherheit erweitern
• ermutigt Entwickler, ihre täglichen Programmieraufgaben aus Sicherheitsgründen zu betrachten
• macht sicheres Programmieren zu einem festen Bestandteil ihres täglichen Workflows
  

Wenn diese Threads zusammenkommen, wird das Auftreten von Sicherheitslücken von vornherein verhindert, sodass Teams versenden können Qualitätscode schneller, mit Zuversicht. Die gute Nachricht ist, dass es bereits eine Lernplattform gibt, die im Softwareentwicklungsprozess „links“ beginnt — eine Plattform, die Entwicklern bereits von Anfang an die Fähigkeiten und Tools an die Hand gibt, um Qualitätscode zu erstellen.
‍‍

‍

‍

‍

*IBM Software Group; Minimierung von Codefehlern zur Verbesserung der Softwarequalität und Senkung der Entwicklungskosten
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

Eine Version dieses Artikels erschien in Dunkle Lektüre. Es wurde hier aktualisiert und syndiziert.

Wenn ich mit Entwicklern über Sicherheit spreche, lautet eines meiner Mantras, dass „der einzige Qualitätscode der sichere Code ist“. Das ist immer noch wahr; wir sind vielleicht einer Katastrophe entkommen, als anfällige Software in den 90er Jahren in der Wildnis herumlief, aber heute ist es das Risiko nicht wert. Viele haben im Laufe der Jahre hart daran gearbeitet, Entwicklern eine sicherheitsbewusste Denkweise zu vermitteln, und auf diese Weise hoffentlich Sicherheit zum Synonym für Qualität gemacht, wenn es um die Selbsteinschätzung ihres Codes geht.

Nach reiflicher Überlegung (und einigen Diskussionen unter meinen Kollegen) wird das Konzept jedoch möglicherweise zu stark vereinfacht. Es ist durchaus möglich, Code zu erstellen, der in der Tat sicher ist, aber Anzeichen einer neuen Entwicklungstechnik oder andere Problembereiche aufweist, die ihn nicht ideal machen.

Unsere Branche spricht ausführlich über den Begriff „Linksverschiebung“. Meiner Meinung nach geht es vor allem darum, links zu beginnen, indem die Ingenieurskohorten in die Lage versetzt werden, die Verantwortung für Sicherheit gemeinsam zu übernehmen (was ein Aspekt der Qualität ist), und ihnen die Möglichkeit zu geben, häufig auftretende Sicherheitslücken mit ihren (wörtlichen) Fingerspitzen zu beseitigen. Angesichts dieses aktuellen Rätsels scheint es jedoch, dass die Grenzen noch ein wenig weiter verschoben werden müssen.

Code mit einem bestimmten Qualitätsniveau ist per Definition auch sicher, aber jeder sichere Code ist nicht unbedingt von guter Qualität. Ist das Starten von „links von links“ die Formel, um reine sichere Codierungsstandards zu gewährleisten?

Wie sieht ein Sicherheitscode von „schlechter Qualität“ aus?

Lassen Sie uns die Lupe über diesen Codeausschnitt legen:

Wenn wir diesen Code aus Sicherheitsgründen analysieren, ist dieses Snippet in der Tat sicher und kein Einstiegspunkt für einen Angreifer, um eine SQL Injection-Schwachstelle auszunutzen.

Ist es ein Beispiel für hochwertigen Code? Leider nicht wirklich. Eine einfache Änderung des Arguments von einem Minze (Heger) zu einem Schnur Wert ermöglicht eine freie Benutzereingabe, um die Abfrage zu manipulieren, im Gegensatz zu einer Zahl, die dies nicht kann. Diese Änderung — oder ein zufälliges Kopieren und Einfügen der Zeichenfolge sql von einer anderen Stelle — schafft sofort eine Umgebung, in der SQL-Injection-Schwachstellen mit allen damit verbundenen Risiken möglich sind:

Die Sicherheitsmaßnahmen hatten hier einen sehr begrenzten Anwendungsbereich, wohingegen ein gründlicherer (oder erfahrener) Entwickler möglicherweise einen anderen Ansatz gewählt und die Auswirkungen einer ineffizienten Argumentationsstruktur berücksichtigt hat. Ein solcher Code ist nicht nur eine schlechte Praxis, er ist auch ein schlechtes Beispiel für andere in der Entwicklungskohorte.

Die Software „Triple Threat“: Form, Funktion, festungsartig?

Eine „dreifache Bedrohung“ in der Unterhaltungsindustrie ist eine Person, die mit ebenso hohem Können schauspielern, tanzen und singen kann. Sie sind die Menschen, die bei jedem Vorsingen gefürchtet und beneidet werden, und sie sind die Einhörner eines ohnehin schon hart umkämpften Raums. Jede Branche hat ihre eigene Version eines erstklassigen, außergewöhnlichen Beispiels ihrer Produkte und Dienstleistungen, wobei Software keine Ausnahme bildet.

Wenn wir an drei Schlüsselelemente in Anwendungen denken, die bei gleicher (hoher) Qualität schwer auszubalancieren sind, könnten das Funktionalität/Eleganz plus uneingeschränkte Sicherheit sowie Wirtschaftlichkeit sein, wenn man die erforderliche Liefergeschwindigkeit berücksichtigt. Nun, dieses letzte Merkmal ist zweifellos ein entscheidender Faktor dafür, wie gut die anderen beiden Optionen angewendet werden, und es kann ein Katalysator dafür sein, dass die Gesamtqualität im Laufe der Zeit abnimmt.

Muss jedoch die gesamte Software wie Hugh Jackman funktionieren, oder können wir mit Nicolas Cage durchkommen? Sagen wir es so: Wenn du Wolverine in dein Team holen kannst, dann gibst du dein Bestes.

Martin Fowler stellte die Frage, Ist hohe Qualität die Kosten wert? in der Softwareentwicklung und kam zu dem Schluss, dass es sich nicht nur „gelohnt“ hat, sondern im Laufe der Zeit sogar billiger wurde. Die meisten Benutzer werden nicht unter die Haube schauen, um zu beurteilen, ob der Code ein Chaos ist oder ob Sicherheit genauso wichtig für alles andere gemacht wurde. Diejenigen, die die Tools verwenden, werden jedoch wertvolle Zeit damit verschwenden, schlampigen Code zu überarbeiten, um neue Funktionen hinzuzufügen, oder große Teile des Projekts zu durchsuchen, um zu verstehen, was vor sich geht, oder, im schlimmsten Fall: das Beheben einer Sicherheitslücke, die vom AppSec-Team zurückgekehrt ist und die Produktion verzögert hat. Jetzt Zeit damit zu verbringen, Code sowohl sicher als auch qualitativ hochwertig zu machen, erspart eine Menge zukünftiger Herzschmerz, ganz zu schweigen von den Kosten, die entstehen, wenn schlecht ausgeführte Arbeit enträtselt wird.

Erfahrene sicherheitsbewusste Entwickler schreiben Code, der ihre kreative, problemlösende Vision bei der Bereitstellung von Funktionen beibehält. Dabei wird darauf geachtet, die üblichen Sicherheitslücken zu beseitigen, die Ingenieure in ihrer Phase des Prozesses kontrollieren können. Sicherer Code ist für sich genommen nicht besonders effektiv. Aus diesem Grund trägt die Idee, „links von links“ zu beginnen, dazu bei, eine Sicherheitskultur zu fördern, die für Entwickler eine Selbstverständlichkeit ist und die in ihre Fähigkeit integriert ist, erstaunliche Funktionen mit reduziertem Risiko bereitzustellen.

Für eine sichere Benutzererfahrung ist es wichtig, „links von links“ zu beginnen.

Sicherheit spielt bei der Benutzererfahrung von Software seit langem eine wichtige Rolle, führte aber eindeutig zu gemischten Erfolgen. Fehlkonfigurationen im Sicherheitsbereich wurden berücksichtigt 21% der Cloud-basierten Datenschutzverletzungen im vergangenen Jahr, als Amateurfehler wie das Speichern von Passwörtern im Klartext zu schwerwiegenden Produktivitäts-, Umsatz- und Kundenvertrauensverlusten für die betroffenen Unternehmen führten.

Das, und die Benutzer selbst können ihr eigener schlimmster Feind sein, wenn es darum geht, ihre eigenen Daten zu schützen. Viel zu viele Leute verwenden immer noch „Passwort“ als Passwort oder verwenden dieselbe Kombination für mehrere vertrauliche Konten.

Ich kenne keinen Entwickler, der mit der Faust Luft macht, wenn ihnen gesagt wird, dass sie an einem Anmeldebildschirm arbeiten müssen, und das ist kein Wunder: Es ist ein empfindliches Gleichgewicht, einen Sicherheitsfluss zu entwerfen, der robust und funktional ist und in dem die Benutzer so navigieren können, wie es für sie sinnvoll ist, mit der geringsten Störung.

Wenn Sie zu viele komplexe Schritte und Einschränkungen einplanen, schalten Benutzer möglicherweise ab, um nie wieder zurückzukehren (eine Katastrophe für eine neue App), machen Sie es zu verwirrend, und Sie könnten das Support-Team am Ende kollektiv verunsichern, wenn sie Anfragen von Benutzern beantworten, die versuchen, auf ihre Konten zuzugreifen. Wenn Sie es zu einfach machen, versagen Sie irgendwie im Sicherheitsbereich.

Eine erfolgreiche sichere Benutzererfahrung muss strenge Sicherheitsvorkehrungen in einen sinnvollen Ablauf integrieren, der auf eine Weise präsentiert wird, die nicht von allem anderen ablenkt, was an der Software überzeugend ist. Sie können sicherlich das Ziel erreichen, eine sichere Anmeldefunktion zu programmieren, indem Sie alle möglichen komplexen Passwortanforderungen, CAPTCHA, Mini-Bosse und vier Wellen von Zombies eingeben, aber wenn es ein totales Durcheinander ist, das Benutzer abschreckt, verfehlt es das Ziel.

Legen Sie den Grundstein für Software-Exzellenz.

Da ich selbst Entwickler bin, weiß ich, dass die überwiegende Mehrheit von uns stolz auf unsere Arbeit ist und das Richtige tun möchte. Lästige Hindernisse wie Zeitbeschränkungen, plötzliche Änderungen des aktuellen Ziels oder dringende Hotfixes können den Arbeitsablauf stören und zu Fehlern führen, aber die harte Wahrheit ist, dass viele Softwareentwickler nicht auf Erfolg vorbereitet sind.

„Links von links“ zu beginnen ist ein Konzept, bei dem die Entwickler an erster Stelle stehen, und Unternehmen müssen ernsthaft daran arbeiten, ihre technische Kohorte zu verbessern. Sicherheitsbewusste Entwickler sind Gold wert, und Unterstützung in Form von Schulungen, der Bereitstellung der richtigen Tools und der Möglichkeit, von erfahreneren Entwicklern betreut zu werden, wird eine Umgebung fördern, in der Code mit einer sicherheitsorientierten Denkweise erstellt wird, mit der Präzision und Liebe zum Detail, die erforderlich sind, um Software auf die nächste Stufe zu heben.

Bist du bereit, das sichere Codierungsfeuer in dir selbst zu entfachen? Stellen Sie sich der Herausforderung.

‍

Es ist diese besondere Zeit des Jahres (jedenfalls für uns), in der ich über unsere letzte Runde um die Sonne nachdenke und darüber, was in den letzten dreihundertfünfundsechzig Tagen getan wurde, um uns für ein neues Jahr voller Wachstum, Lektionen und unvermeidlicher Unvorhersehbarkeit zu rüsten.

Ich glaube zwar nicht, dass irgendjemand die Wendungen des letzten Jahres hätte ahnen können - schließlich waren die meisten von uns meiner Meinung nach mit mehr Curveballs konfrontiert als die LA Dodgers -, aber wir sind immer noch hier. Das Ticken des Kalenders hat den Problemen des Jahres, das nicht genannt werden kann, kein plötzliches Ende bereitet, aber überall um mich herum sehe ich die unerschütterliche Widerstandsfähigkeit von Einzelpersonen, Unternehmen und unserer Branche.

Also, welche Fortschritte haben wir bei unserem Ziel gemacht, Code in der ganzen Galaxie zu sichern?

Wir haben unsere Produktsuite auf den neuesten Stand gebracht.

Die Secure Code Warrior-Schulungsplattform wird immer das Herzstück unserer Angebote sein, aber das Streben nach mehr Abwechslung und mehr von Entwicklern ausgewählten Tools hat für uns oberste Priorität.

Wir möchten Entwickler dazu inspirieren, einen präventiven Ansatz zur sicheren Codierung zu verfolgen, der es jedem Team ermöglicht, hochwertige Software mit Zuversicht zu liefern.

Ich bin so stolz darauf, detailliert beschreiben zu können, woran unser Produktteam so hart gearbeitet hat. Es hat das ganze Jahr über unglaubliche Ziele gesetzt:

• Wir haben Adversary.io übernommen und ihre Technologie, ihr erstaunlich kompetentes Team und Unternehmenskunden in weniger als 9 Monaten integriert.
• Wir haben den unglaublichen Meilenstein der Unterstützung erreicht über 50 Programmiersprachen, einschließlich Infrastruktur als Code-Grundpfeiler wie Docker, Ansible, Terraform, Kubernetes, Powershell und CloudFormation sowie Neulinge wie Rust und Go.
• Bereitstellung von Sicherheitswissen für Entwickler durch Veröffentlichung brandneuer Verlängerungen für GitHub Actions and Issues, zusätzlich zu Atlassian JIRA Cloud & Server, das kontextbezogenes Lernen direkt dort ermöglicht, wo Entwickler spielen, ohne zwischen Aufgaben wechseln zu müssen
• Qualitätscode-Anleitung in Echtzeit in der IDE mit Sensei, jetzt verfügbar in der JetBrains-Marktplatz für jeden Entwickler, um Sicherheitslücken zu erkennen, bewährte Verfahren durchzusetzen, Wissen auszutauschen und Leistungsprobleme und technische Schulden zu vermeiden
• Wir machen es Unternehmen einfacher, mit Entwicklern in Kontakt zu treten und sichere Codierung zu skalieren, indem sie Lehrveranstaltungen, eine brandneue Funktion, die kuratierte Lernpfade für Ziele ermöglicht, die für ein Unternehmen und seine Sicherheitsziele am relevantesten sind. Wir haben außerdem hinzugefügt Missionen, eine spannende Erweiterung der Flaggschiff-Plattform, bei der Entwickler einen Exploit selbst ausprobieren können. Dies ist der nächste Schritt in einem gerüsteten Lernansatz, der Entwicklern eine tragfähige, lebenslange Grundlage für ihren Erfolg bietet.

... und wenn Sie Programmieranfänger kennen, sollten sie sich die kostenlose App Secure Code Bootcamp ansehen und ihre Sicherheitsreise beginnen.

Wir sind gelandet, wir haben expandiert, wir haben Einfluss genommen.

Wir gehen sichere Codierung gerne etwas anders an, und natürlich hoffen wir, dass sich dieses Ethos in der gesamten Branche durchsetzt. Es ist wichtig, dass Entwickler erkennen, welche Stärke sie im Kampf gegen Cyberangreifer haben, und es ist ein vorrangiges Ziel, sie dazu zu bringen, Spaß daran zu haben, etwas über Sicherheit zu lernen.

Tausende Entwickler nahmen an unseren virtuellen Turnieren aus der ganzen Welt teil. Allein im Jahr 2020 fanden über 80 statt. Wir waren begeistert, dass die Leute im Rahmen von GitHub-Universum, weltweit Cisco Ereignisse und DevSeccon.

Wir haben unsere Daten durchforstet und festgestellt, dass 2020 Hunderttausende Unique User auf unserer Plattform gespielt haben. Das ist überwältigend, wenn ich darüber nachdenke, wo wir vor sechs Jahren angefangen haben.

Ich war sehr erfreut zu sehen, dass wir unsere Reichweite unter den Fortune-1000-Unternehmen deutlich erhöht hatten. Jedes von ihnen war bereit, im Rahmen seiner Sicherheitsprogramme etwas Neues auszuprobieren. Wir fanden Synergien insbesondere mit Technologieunternehmen, von denen viele auf Telearbeit umgestellt haben und den Wert von Fernschulungsmöglichkeiten sahen.

Team Awesome wurde zusammen größer und stärker.

Eine der größten Entwicklungen, die wir als Unternehmen im vergangenen Jahr erlebt haben, war die Übernahme des in Island ansässigen Cybersicherheitsunternehmens Adversary. Wir hatten viele Gemeinsamkeiten: eine ähnliche Haltung zum menschenorientierten Cybersicherheitsansatz, gemeinsame Werte und ergänzende Produkte. Wir haben ihr Team in unser Team aufgenommen und unschätzbares Fachwissen und Talent unter großartigen Menschen gewonnen.

Wir begrüßten auch John Wilson als SVP of Global Sales, der von seiner umfassenden, 25-jährigen Erfolgsbilanz bei der Förderung des Wachstums und dem Aufbau von Cloud-Technologie- und Cybersicherheitsunternehmen zu Marktführern profitierte. Seine umfassenden technischen Fähigkeiten waren eine innovative Kraft in Unternehmen wie Symantec, Qualys, BlackBerry und Verizon, und wir könnten nicht glücklicher sein, dass er seine Magie mit uns entfaltet.

Der Mangel an physischen Büros hinderte uns nicht daran, sechzig neue Mitarbeiter in fünf Ländern einzustellen und sicherzustellen, dass sie mit virtuellem Support, Einführungen und natürlich dem begehrten Mitarbeiterpaket, das an ihre Tür geliefert wurde, sofort loslegen konnten.

Wir sind in allen Abteilungen weiter gewachsen, was für die Erreichung unserer globalen Mission, Qualitätscode schnell zu ermöglichen, gleichermaßen wichtig ist. Und doch fühlt es sich immer noch so an, als hätten wir gerade erst angefangen.

2021, das Jahr, in dem die Konversation verändert wurde.

Ich habe schon lange das Gefühl, dass sich die Gesellschaft einfach nicht genug um Cybersicherheit kümmert, und erst wenn etwas unglaublich Drastisches passiert, können wir sehen, wie Maßnahmen und Sensibilisierung ergriffen werden.

Nachdem Ende letzten Jahres die enorme Sicherheitslücke bei SolarWinds ausgebrochen ist, kommen immer mehr Details ans Licht. Das volle Ausmaß des Schadens ist immer noch nicht bekannt, aber dieser Vorfall könnte der Auslöser für weitreichende Veränderungen sein. US-Regierungsbehörden überarbeiten bereits ihre Sicherheitsprogramme, und Cyberspionage ist ein sehr aktuelles Thema unter denjenigen, die viel zu verlieren haben.

Wir können immer noch ein bisschen Spaß in alles stecken, was wir tun, aber jetzt ist es an der Zeit, die Ärmel hochzukrempeln und daran zu arbeiten, das Gespräch wirklich zu verändern.

Jeder sicherheitsbewusste Entwickler macht unsere Welt ein bisschen sicherer vor Cyberangriffen, und es wird immer unser Ziel sein, ihnen das Wissen zu geben, um erfolgreich zu sein — und es vielleicht sogar zu lieben. Wir arbeiten jeden Tag hart daran, Tools zu entwickeln, die Entwickler verwenden, um sich mit Sicherheit vertraut zu machen und Code von höchster Qualität zu erstellen. Sicherer Code sollte der Standard sein, und wir können alle mit anpacken, um das Wirklichkeit werden zu lassen.

Es fühlt sich an, als ob „Cybersicherheits-Compliance“ seit Jahren im Trend liegt. In endlosen Artikeln, Initiativen und Ausschüssen wird diskutiert, wie die Welt am besten gegen die riesige, vielfältige Bedrohung, die Cyberkriminalität, vorgehen sollte.

Das Problem ist, wir scheinen es nicht gemacht zu haben Das viel Fortschritt. Weltweit sind die Kosten von Datenschutzverletzungen stetig gestiegen. Innerhalb von fünf Jahren sind sie um 12% gestiegen und haben sich auf ca. $3.92 Millionen USD pro Verstoß im Jahr 2019. Als unsere Internetnutzung in nur wenigen Jahrzehnten explosionsartig zunahm, mussten viele Unternehmen einfach ungeschützt kämpfen, da sie schnell online gingen, Geschäfte einrichteten und sich mit den Folgen unsicherer Software, begrenzter AppSec-Ressourcen und in einigen Fällen des Missbrauchs des Kundenvertrauens auseinandersetzten.

Heutzutage sind wir unwiderlegbar reifer. Wir verstehen und erörtern ausführlich das Ausmaß der Bedrohung. Unternehmen sind sich der Auswirkungen bewusst, die ein Cyberangriff auf die Kundenstimmung, ihren Ruf und ihr Geschäftsergebnis haben kann, und viele Unternehmen versuchen aktiv, die Softwaresicherheit durch Compliance-Schulungen, die Einstellung qualifizierter Mitarbeiter und zunehmend durch DevSecOps-Initiativen zu verbessern. Trotz dieser großen Fortschritte werden wir den Kampf nicht gewinnen — auch nicht annähernd. Es gab mindestens vier Milliarden Datensätze gestohlen allein im Jahr 2019 bei Datenschutzverletzungen.

Eine fehlende Zutat war ein etwas langsames Durchsickern (auf Regierungsebene) in Bezug auf Cybersicherheitsstandards, Erwartungen und Folgen eines Verstoßes. Das Aufkommen von DSGVO hat zumindest in Europa einige Blicke auf sich gezogen, aber viele Regierungsbehörden holen erst jetzt auf, und die plötzliche Notwendigkeit, sich schnell an die neu erblühten Compliance-Initiativen zu halten, könnte in Zukunft einige unerwünschte Auswirkungen haben.

Narren stürmen rein (zum falschen Training)

Solide Richtlinien in Form von NIST, neue Vorschriften für Bundesstaat New York und die Bildung der Britischer Cybersicherheitsrat waren allesamt monumentale Siege für diejenigen, die den guten Kampf für den Schutz unserer Daten führen. Sie erkennen die Probleme der aktuellen Softwareentwicklung an und ergreifen Maßnahmen, um Unternehmen bei den Standards zu unterstützen, die sie jetzt erfüllen müssen, um im Hinblick auf bewährte Sicherheitsverfahren als ethisch und konform angesehen zu werden.

Leider sind einige der wichtigsten Elemente zum jetzigen Zeitpunkt etwas zu offen für Interpretationen. Eines der Mandate in der Gesetzgebung des britischen Cybersicherheitsrates lautet beispielsweise:

„Eine definierte Liste von Zertifizierungen und einen leicht verständlichen Rahmen dafür zu erstellen, wie sie alle miteinander verknüpft sind und welche Fähigkeiten sie vermitteln, aufbauend auf den bereits geleisteten Karrierewegen“.

Ihre Initiativen werden sich im Laufe der Zeit zweifellos verbessern und wachsen, aber wenn Unternehmen bereits jetzt den Panikknopf drücken und sofort mit Schulungen beginnen, sind sie möglicherweise einfach schlecht für die Zukunft gerüstet.

Die Cybersicherheitsanforderungen eines Unternehmens ändern sich schnell, und es ist unwahrscheinlich, dass statische Schulungslösungen die Flut unsicherer Software in dem erforderlichen Tempo eindämmen werden. Die Landschaft ändert sich schneller, als ein herkömmlicher Kurs aktualisiert werden kann, was dazu führen kann, dass einige Unternehmen in die „Häkchen“ -Compliance-Falle geraten. Entwickler, Auftragnehmer und andere Sicherheitsexperten werden nicht ausreichend geschult, und wir sind wieder leichte Beute.

Statisches Training und statische Tools haben die gleichen Probleme

Statische Analysetools sind ein integraler Bestandteil des SDLC und erfüllen ihre Aufgabe als Scan-Arbeitspferde für die knappen und überarbeiteten AppSec-Spezialisten, die in den meisten großen Unternehmen zu finden sind. Sie machen einen guten Job, aber es gibt einen Fehler: Kein „einziges“ Tool kann nach jeder einzelnen Sicherheitslücke suchen und unterstützt die riesige Bandbreite an Programmier-Frameworks, die es gibt. Es ist auch ein langsamer Prozess, und es braucht nur eine Sicherheitslücke, die es durch die Ritzen schafft, um einem Angreifer die Tür offen zu lassen.

Beim statischen Training gibt es ein ähnliches Problem. Wenn Entwickler die Sicherheitsschulung in Form eines starren, „einmaligen“ Kurses erhalten, ist es sehr unwahrscheinlich, dass sie mit den in diesem Zeitraum am häufigsten vorkommenden Sicherheitsproblemen Schritt gehalten haben. Es ist eine Momentaufnahme der Zeit, in der es geschrieben wurde, und es wird selten genug wiederholt. Es wird in der bevorzugten Sprache und dem von den Teilnehmern bevorzugten Framework abgehalten. Sie ist auch nicht kontextuell zu den Sicherheitslücken, mit denen sie bei ihrer täglichen Arbeit konfrontiert sein werden. Stellen Sie sich vor, Sie versuchen, sich an eine wichtige Information aus einem Video zu erinnern, das Sie vor Monaten gesehen haben, während Sie gleichzeitig versuchen, Lieferfristen einzuhalten und den Code vor die Tür zu bringen... es ist unwahrscheinlich, dass das passiert.

Traditionelle Schulungsmethoden werden in vielen Branchen neu bewertet, aber wenn es um Sicherheitsschulungen für Entwickler geht, müssen Sie sich nur die schiere Menge an Datenschutzverletzungen ansehen, die wir immer noch erleben (insbesondere solche, die auf Sicherheitslücken zurückzuführen sind, die wir seit Jahrzehnten beim Programmieren vermeiden können). wie SQL-Injection) um zu erkennen, dass wir einen anderen Weg ausprobieren müssen.

Wir brauchen Schulungen, die über die Grenzen eines einzelnen, linearen Kurses hinausgehen, der flexibel ist und sich an die sich ständig ändernden Anforderungen der Best Practices im Bereich Cybersicherheit anpassen kann.

Dynamisches Training: der Goldstandard

Indem Sie Entwicklern eine dynamische Schulungslösung anbieten, die schnell an das Unternehmen, das individuelle Qualifikationsniveau und allgemeine Branchenbewegungen angepasst werden kann, bieten Sie ihnen die beste Grundlage für sicheres Programmieren, wobei Sicherheit im Vordergrund steht und sicherheitsbewusstes Handeln im Vordergrund steht.

Eine Schulung, die für alle passt, nie wiederholt wird und die nicht von Anfang an durchgeführt werden, ist reine Zeitverschwendung, und das bedeutet leider, dass Sie am Ende ein ineffektives Programm kaufen könnten, um die Einhaltung der Vorschriften zu gewährleisten. Es könnte veraltet sein, bevor Sie es überhaupt eingeführt haben, oder kaum mit den Anforderungen ihrer täglichen Arbeit in Verbindung gebracht werden können.

Dynamisches Training ist ein lebendiges, lebendiges Instrument, das ständig aktualisiert wird, um den täglichen Bedürfnissen gerecht zu werden. Es regt die Benutzer zum kritischen Denken an und befähigt sie tatsächlich, Fähigkeiten zu erlernen und Probleme zu lösen.

Wie sieht also ein dynamisches Trainingsprogramm in einem Sicherheitskontext aus?

Es wird sein:

• Bissgerecht: Entwickler können Fähigkeiten in überschaubaren Abschnitten erlernen, die sich viel leichter merken (und, was noch wichtiger ist, anzuwenden) sind als langatmige Trainingsunterlagen und Videos
• Relevant: Was nützt generisches Sicherheitstraining, bei dem die Beispiele beispielsweise in C# stehen, wenn der Entwickler hauptsächlich in Java programmiert? Jede Schulung sollte sich direkt auf ihre Rolle beziehen, sodass sie sehen können, was sie beim Programmieren finden und korrigieren (und idealerweise von vornherein vermeiden) müssen.
• Aktuell: Das scheint offensichtlich, ist es aber oft nicht. Die Cybersicherheitslandschaft verändert sich ständig, und mit mehr Code geht auch mehr Verantwortung einher. Damit Entwickler Ihre erste Verteidigungslinie sein können, benötigen sie Schulungen, die stets auf dem neuesten Stand der bewährten Sicherheitsmethoden sind.
• Engagierend: Es ist kein Geheimnis, dass Entwickler „Sicherheit“ als lästige Pflicht empfinden können, insbesondere wenn sie ihren kreativen Fluss beeinträchtigt. Die richtige Schulung zeigt ihnen, welche Macht sie bei der Lösung alltäglicher Sicherheitsprobleme haben, die sich in enorme Risiken verwandeln können, und fördert so eine Kultur der Verantwortung und des Sicherheitsbewusstseins.
• Lustig: Dynamisches Training ist selten langweilig, es soll zumindest von Natur aus etwas aufregend sein. Denke darüber nach, was Entwickler lieben: Probleme zu lösen, sich mit Gleichaltrigen zu messen und — wie viele von uns — in der Belegschaft Belohnungen und Anerkennung. Nutzen Sie ihre Stärken und konzentrieren Sie sich darauf, die besten Ergebnisse zu erzielen.

Es ist eine aufregende Zeit, Softwareentwickler zu sein. Sie spielen eine wichtige Rolle in der digitalen Innovation, helfen dabei, großartige Unternehmen zu gründen, und erobern sogar die Welt mit ihren eigenen Kreationen im Sturm. Angesichts der Tatsache, dass Regierungsbehörden und große Unternehmen jedoch erkennen, welche Rolle sie bei der Festlegung von Standards für Softwaresicherheit spielen müssen, ist es wichtig, sie mit effektiven, dynamischen Schulungslösungen zu unterstützen, die die Begeisterung für sicheres Programmieren fördern, und nicht durch bürokratisches Ankreuzen.

Laut einer IBM-Studie ist es dreißigmal teurer, Sicherheitslücken nach der Veröffentlichung zu beheben, als sie zunächst zu finden und zu beheben. Vor diesem Hintergrund ist es nicht verwunderlich, dass zukunftsorientierte CIOs sichere Codierungspraktiken implementieren. Das bedeutet, dass Entwickler geschult und ausgerüstet werden müssen, um Code zu schreiben, der von Anfang an sicherer ist — und sie so zur „ersten Verteidigungslinie“ ihres Unternehmens zu machen. Um die tatsächlichen Auswirkungen dieses Trends zu messen, hat Secure Code Warrior in Zusammenarbeit mit Evans Data Corp* eine kürzlich durchgeführte Studie über die Einstellung von Entwicklern zu sicherem Programmieren, sicheren Code-Praktiken und Sicherheitsabläufen in Auftrag gegeben. Diese Studie zeigt, dass die Implementierung von Sicherheitscode-Praktiken für Unternehmen an verschiedenen Fronten transformativ ist. Laden Sie Ihr Exemplar des Whitepapers herunter hier.

Sicheres Programmieren mit mehr Selbstvertrauen und Achtsamkeit

Zweifellos schärft die Implementierung sicherer Codierungspraktiken das Sicherheitsbewusstsein der Entwickler auf eine Weise, von der ihre Arbeitgeber profitieren. Unsere Studie zeigt, dass 55% der Entwickler angeben, dass eine gute Schulung ihr Vertrauen in ihre Programmiertechniken gestärkt hat, und 53% gaben an, dass sie durch eine gute Schulung beim Debuggen und Testen ihres eigenen Codes vorsichtiger vorgehen konnten. Genauso 53% glauben, dass sie beim Schreiben von Code mehr Wert auf Sicherheit gelegt haben.

Was sagt uns das? Es zeigt uns, dass Entwickler mit ein wenig Weiterqualifizierung zu Ihrer ersten Verteidigungslinie werden können.

Intelligentere Werkzeugauswahl + erhöhte Freigabegeschwindigkeit

Als wir Manager nach den Auswirkungen von Sicherheitscode-Schulungen befragten, spiegelten ihre Sichtweisen ihre Führungsverantwortung wider. 43% der Manager stimmten zu, dass Sicherheitscode-Schulungen ihren Unternehmen geholfen haben, beim Debuggen und Testen ihres Codes vorsichtiger zu werden. 47% gaben an, dass sie durch gute Schulungen selektiver bei der Auswahl von Tools vorgehen konnten, die mehr Sicherheit bieten. Aber vielleicht am wichtigsten ist, dass 44% angaben, dass Schulungen und Techniken für sicheren Code dazu beigetragen haben, Zeit zu sparen und Softwareversionen zu beschleunigen — ein erheblicher Vorteil, wenn es auf eine schnelle Markteinführung ankommt.

Verbesserte Produktivität auf ganzer Linie

Als wir Entwickler fragten, wie sichere Programmierung zur Produktivität beigetragen hat, war mehr als die Hälfte der Meinung, dass sie dazu beigetragen hat, sowohl die Qualität der Codierung als auch des App-Designs zu verbessern.

63% gaben an, dass es die Nacharbeit reduziert, indem es wiederkehrende Sicherheitslücken verhindert. 70% gaben an, dass es dazu beigetragen hat, Fehler zu beseitigen, die zu Überarbeitungen oder Patches geführt haben. 56% geben an, dass es die Produktivität beim Debuggen und Testen verbessert hat. Wir können beobachten, dass die Transformation in mehreren Phasen des Softwareentwicklungszyklus im Gange ist.

Teamdynamik und Codequalität

Sichere Code-Praktiken wirken sich auch auf die Teamdynamik aus. Entwickler lernen zwar individuell, sicherer zu programmieren, aber ihr Code existiert nicht im luftleeren Raum. Ihr Code hängt oft von der Arbeit anderer ab und umgekehrt. Die Implementierung sicherer Codierungspraktiken veranlasst Entwickler dazu, ihr Wissen über sichere Codierung auszutauschen und nach ihnen zu suchen, was zu einer besseren Kommunikation zwischen Entwicklern, Entwicklern und Management sowie dem Entwicklungsteam und ihren Stakeholdern führt.

• 60% der befragten Entwickler glauben, dass der Einsatz sicherer Code-Praktiken ihre Kommunikation mit anderen Entwicklern verbessert hat
• 45% geben an, dass der Kontakt zum Management zugenommen hat.

Diese Ansichten werden von Managern geteilt, wenn auch aus einer anderen Perspektive. 62% der befragten Manager geben an, dass sie aufgrund sicherer Codepraktiken mehr Zeit für die Verwaltung von Mitarbeitern aufwenden müssen und dazu beitragen, die Geschwindigkeit der Codeveröffentlichungen zu erhöhen.

Für Unternehmen, die sichere Codepraktiken implementieren, hat die Zunahme der Kommunikation einen transformativen Einfluss auf die Teamdynamik und wirkt sich positiv auf die Codequalität und die Geschwindigkeit der Markteinführung aus.

Übergang von reaktiv zu präventiv

Schließlich wirkt sich sicherer Code auf die Art und Weise aus, wie Entwickler und Entwicklungsmanager Sicherheitsmaßnahmen und die damit verbundenen Metriken anwenden.

Heute verlassen sich 81% der Unternehmen immer noch auf reaktive Kennzahlen wie Fehlerzahlen und Scanner-Metriken, um die Sicherheitsqualität zu bestimmen.

Diese reaktiven Aktivitäten werden jedoch zunehmend durch proaktive oder präventive Kennzahlen ergänzt oder weichen diesen. 67% der Unternehmen messen inzwischen das Bewusstsein der Entwickler für die OWASP Top 10 als Kennzahl für die Sicherheitsbereitschaft. Zu den weiteren proaktiven Kennzahlen, die zunehmend genutzt werden, gehören:

• Messung der Entwicklerkompetenz im Bereich Anwendungssicherheit
• Verwendung eines vorab genehmigten Codes
• Einhaltung der regulatorischen Anforderungen.

90% der Entwickler achten jetzt auf diese präventiven Maßnahmen. Doch obwohl das Bewusstsein und die Implementierung sicherer Codierungspraktiken zunehmen, ist es noch ein weiter Weg, um das volle Potenzial auszuschöpfen.

Wo soll es von hier aus hingehen?

Als Verfechter des Wandels im Bereich der sicheren Codierung verfolgt Secure Code Warrior einen von Menschen geleiteten Ansatz, der Sie dabei unterstützt, Ihre Entwickler in Ihre erste Verteidigungslinie zu verwandeln — und Ihren gesamten Sicherheitsansatz von reaktiv zu proaktiv zu gestalten. Unsere bewährte Lernplattform bietet kontextbezogenen, praktischen Unterricht in 52 sprachspezifischen Kategorien: Frameworks, mit Herausforderungen, die denen nachempfunden sind, mit denen Entwickler in der realen Welt konfrontiert sind. Wir wissen aus langjähriger Erfahrung, dass Entwickler die Learn-by-Doing-Methode dem Problem des theoriebasierten statischen Lernens vorziehen. Wenn Sie sehen möchten, welche transformativen Auswirkungen dies auf Ihre Teams und deren Fähigkeit haben kann, Qualitätscode mit Zuversicht zu veröffentlichen, jetzt eine Demo buchen.

‍

*Übergang von der Reaktion zur Prävention: Das sich wandelnde Gesicht der Anwendungssicherheit. Secure Code Warrior und Evans Data Corp. 2020
1. IBM Software Group; Minimierung von Codefehlern zur Verbesserung der Softwarequalität und Senkung der Entwicklungskosten - https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

‍

Kochbücher innerhalb eines Teams teilen

Wenn eine Person ein Sensei-Rezept erstellt, um ihre Codequalität oder Produktivität zu verbessern, kann jeder im Team davon profitieren, wenn die Kochbücher geteilt werden.

Sensei bietet eine Reihe von Mechanismen zum Teilen von Kochbüchern:

• Speichern Sie Kochbücher im Projekt unter Versionskontrolle
• Speichern von Kochbüchern in einem gemeinsamen Ordner
• Speichere Kochbücher auf Github
• Gezippte Dateien über HTTP (s)

Durch das Teilen der Kochbücher hilft Sensei den Teams, beim Wissensaustausch zusammenzuarbeiten. Die Zusammenarbeit trägt dazu bei, die Kommunikation zu verbessern und die vereinbarten Konzepte zur Codequalität zu verankern.

Zum Beispiel ein Kochbuch teilen:

• hilft Teammitgliedern, nützliche Rezepte miteinander zu teilen.
• unterstützt Teamleiter bei der Kodifizierung vereinbarter Programmierpraktiken für Nachwuchskräfte, um häufige Verstöße zu identifizieren und die vereinbarte Version schnell zu beheben.
• fördert die Zusammenarbeit zwischen den Teams, z. B. könnte ein AppSec-Team Rezepte erstellen, um ein Problem im Code hervorzuheben, und das Entwicklungsteam könnte die schnelle Lösung schreiben.

In den nächsten Abschnitten wird erklärt, wie die einzelnen Sharing-Mechanismen implementiert werden.

Speichern Sie Kochbücher im Projekt unter Versionskontrolle

Der Projekt-Ordner .sensei ist die Standardoption beim Erstellen einer Kochbuchdatei.

• `projekt: //.sensei`

Alle Kochbücher und Rezepte würden in einem .sensei-Ordner in Ihrem Projekt gespeichert.

Die einfachste Methode zum Teilen besteht darin, den Projekt-Ordner .sensei zur Versionskontrolle hinzuzufügen.

Dann kann der Ordner.sensei wie jedes andere geteilte Code-Artefakt verwaltet werden, das mit dem Projekt verknüpft ist. Die Kochbücher werden als YAML-Konfiguration gespeichert, sodass sie bei jedem Commit- und Überprüfungsprozess einfach zusammengeführt werden können.

Dies ist der Ansatz, der für das Projekt public sensei-blog-examples verfolgt wurde.

• https://github.com/SecureCodeWarrior/sensei-blog-examples

Der Ordner.sensei enthält das Kochbuch mit allen Rezepten, und sie sind für jeden verfügbar, der das Repository klont.

Speichern Sie Kochbücher in einem beliebigen Ordner

Teams können auch Kochbücher verwenden, die an zentralen Orten gespeichert sind.

Wenn Sie das Kochbuch in einem beliebigen Ordner mit gemeinsamen Schreibzugriffsberechtigungen speichern, kann das gesamte Team die Rezepte aktualisieren und sie in jedes Projekt importieren, an dem es gerade arbeitet.

Der Speicherort würde auf den Verzeichnispfad gesetzt.

Rezepte auf Github speichern

Sensei kann auch auf Rezepte zugreifen, die in einem Github-Repo gespeichert sind. Sowohl private als auch öffentliche Repositorys werden unterstützt.

Github über SSH

Der SSH-Repository-Zugriff wird mit der folgenden Syntax für den Standort konfiguriert

git@github.com/: SecureCodeWarrior/acookbook.git

Damit das funktioniert, würde das Repository den Inhalt eines Kochbuchordners enthalten.

Es ist auch möglich, den Zweig und den Unterordner für das Kochbuch zu konfigurieren, z. B. im Master-Zweig im Kochbuch-Unterordner

z. B.

• git@github.com/: secucodewarrior/sensei-blog-examples.git|master|.sensei

Für private Repositorys muss ein SSH-Schlüssel konfiguriert werden.

• https://github.com/settings/keys

Und der Schlüssel sollte keine Passphrase haben.

Github über HTTPS

Es ist auch möglich, über HTTPS auf öffentliche Repositorys zuzugreifen, und es wird dieselbe repo.git|branch|folder-Syntax verwendet, z.

Für unser Blog-Beispielprojekt:

• https://github.com/SecureCodeWarrior/sensei-blog-examples.git|master|.sensei

Für unser Basic Protection-Beispielset können wir den Branch und den Unterordner ignorieren, da wir standardmäßig den Master-Branch erhalten und die Datei `rules.sensei` sich im Stammordner befindet. :

• https://github.com/SecureCodeWarrior/cookbook-basic-protection-set

Per HTTP (s) gezippt

Sensei kann auch über HTTP oder HTTPS auf gezippte Kochbücher zugreifen.

zB wenn ich einen HTTP-Server hatte, der lokal auf Port 8000 lauscht

• http://localhost:8000/rules.sensei.zip

Die ZIP-Kochbuchdatei sollte den Inhalt eines Kochbuchordners enthalten, z. B. die Datei rules.sensei.

Zusammenfassung teilen

Sensei unterstützt die Verwendung mehrerer Kochbücher, sodass ein einzelner Programmierer Rezepte haben kann, die sein eigenes Lernen und seine Produktivität unterstützen.

Noch wichtiger ist, dass wir wissen, dass Teams am effektivsten arbeiten, wenn Wissen geteilt wird. Gemeinsame Team-Repositorys, z. B. für ein bestimmtes Projekt, eine bestimmte Bibliothek oder für eine gemeinsame Gruppe von Migrationsmustern, können dazu beitragen, die Produktivität des Teams zu steigern und die Erfahrung des Teams zu kodifizieren.

Wenn ein Kochbuch gemeinsam genutzt wird, können mehrere Teams dasselbe Kochbuch verwenden, was auch die Zusammenarbeit zwischen Teams aus verschiedenen Disziplinen, z. B. AppSec bis hin zur Entwicklung, verbessern kann.

Da Sensei vier zentrale Austauschmechanismen zur Verfügung hat, hat Sensei hoffentlich mindestens einen Ansatz, mit dem Sie die Zusammenarbeit beim Wissensaustausch verbessern können.

---

Sie können Sensei von IntelliJ aus mit „Preferences\ Plugins“ (Mac) oder „Settings\ Plugins“ (Windows) installieren und dann einfach nach „Sensei Secure Code“ suchen.

Alle Codes und Rezepte für Sensei-Blogposts sind auf Github in:

•  https://github.com/SecureCodeWarrior/sensei-blog-examples