Entwicklerturniere: AppSecs Geheimwaffe zur Verbesserung der Sicherheitskultur und des Engagements
Stell dir vor, du baust etwas von Grund auf neu und setzt deine Fähigkeiten und deine Erfahrung mit Meisterschaft ein, um der Welt einen kleinen, aber besonderen Stempel aufzudrücken. Ob alleine oder als Teil eines Teams, du setzt dein Herz und deine Seele ein, um etwas aus dem Nichts aufzubauen. Du verbringst Hunderte — vielleicht sogar Tausende — von Stunden damit, um sicherzustellen, dass dein Baby das Beste ist, was es sein kann. Nach Abschluss kann sich diese Erfolgswelle wie eine Belohnung für sich allein anfühlen.
Stellen Sie sich nun vor, ein Spielverderber kommt und sagt Ihnen, dass es nicht so toll ist. Vielleicht gehen sie noch einen Schritt weiter und sagen dir, nein, trotz der Energie, Zeit und Liebe, die du geopfert hast, ist es eigentlich nicht einmal nutzbar: es ist kaputt. Sie haben dir im Wesentlichen gesagt, dass dein Baby hässlich ist.
Das obige Szenario wird sicherlich zu Spannungen führen; wer will schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Leider kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Bereitstellung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die dasselbe Ziel verfolgen, aber so unterschiedliche Sprachen sprechen, dass sie sich uneins zu sein scheinen.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung abschließen, ohne viel über sicheres Programmieren zu lernen, kommt es oft vor, dass sie beim Eintritt in die Belegschaft zum ersten Mal mit der Sicherheitsausbildung in Kontakt kommen. Schulungen im Klassenzimmer sind eine häufig genutzte Lösung, aber sie nehmen der Bereitstellung von Funktionen wertvolle Zeit ab (und seien wir ehrlich: Wenn der Lehrer und die Inhalte zu wenig stimulierend sind, kann das für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Videokurse, Prüfungen in Papierform und allgemeine Schulungen zur Unternehmenssicherheit... all dies kann so unspezifisch sein, dass sie im täglichen Arbeitsleben eines durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird es als eine Compliance-Übung behandelt, bei der das Kästchen angekreuzt und weitergemacht wird, und zu oft hat es den gegenteiligen Effekt: Es vergrößert nur die Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint herkömmliche Schulungen nicht den positiven Effekt auf Sicherheitskultur und Compliance zu haben, nach dem wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration (CWE) Gemeinschaft, es gibt mehr als 700 Häufig Softwaresicherheitslücken, gegen die man kämpfen muss. Manche, wie SQL Injection, sind wie Kakerlaken, die nicht zerquetscht wurden trotz ihrer Existenz seit mehr als zwanzig Jahren. Wir wissen wie das Problem behoben werden kann; die Schulung soll Entwicklern die Möglichkeit geben, dem und vielen anderen Einhalt zu gebieten, doch Pen-Tests und manuelle Codeüberprüfungsprozesse identifizieren diese Verstöße kontinuierlich.
Vielleicht haben wir das alles falsch betrachtet, und wir als Branche müssen eine tragfähige Ausbildung aus einem anderen Blickwinkel betrachten... einen, der die großartigen Fähigkeiten unserer Entwickler nutzt. Sie sind kreative, wissbegierige Problemlöser, die Herausforderungen lieben. Sicherheitstraining spielerisch zu gestalten bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, zu üben, indem sie es tun — und wer weiß, vielleicht verlieben sie sich nebenbei in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Wenn wir uns hauptsächlich auf (ziemlich ungenaue) Tools, teure Pen-Tests und seltene AppSec-Spezialisten verlassen, werden wir immer tiefer in das schwarze Sicherheitsloch stürzen. Zu viel von unserem Leben und unserer Privatsphäre findet online statt, als dass Unternehmen weiterhin mit den virtuellen Festungen, die unsere Daten schützen, die Vorsicht über den Wind schlagen könnten. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns den Superhelden zuwenden, die die ganze Zeit im Büro saßen: dem Entwicklungsteam.
Gamifizierte Schulungen in relevanten Sprachen und Frameworks sind ein wirksames Instrument für AppSec-Manager, um mit der Transformation der Sicherheitskultur im Unternehmen zu beginnen. Von der Schulung aus können Entwickler ihre neu entwickelten Sicherheitsmuskeln in einer unterhaltsamen Turnierumgebung unter Beweis stellen, die so aufregend sein kann, wie Ihre Fantasie es nur heraufbeschwören kann: Schauen Sie sich einfach an, wie Das „Game of Codes“ von IAG bekamen jedermann sie sprechen über Sicherheit innerhalb ihrer Organisation.
Code Warriors sichern Turnier-Modul bietet mehr als nur eine nette kleine Obergrenze für einen gemessenen Schulungsaufwand: Es ist eine Plattform, auf der jeder Entwickler seine Fähigkeiten überprüfen, sehen kann, wie weit er seit Beginn der Schulung fortgeschritten ist, und Bereiche identifizieren kann, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt ist wirklich ein Motivator, sich positiv mit dem Thema Sicherheit auseinanderzusetzen. Durch Belohnung und Anerkennung wird das Wachstum einer soliden Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens unterstützt.
Ein bisschen Spaß in eine Aufgabe zu stecken, die als mühsame — wenn nicht sogar entmutigende — Aufgabe angesehen werden kann, kann viel dazu beitragen, negative Denkweisen zu ändern und zu anhaltender Teilnahme anzuregen. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerbsumfeld mehr Punkte zu erzielen als seine Kollegen?
Champions gehen unter euch
Gamifizierte Schulungen und anschließende Turniere tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein Sicherheitsentwickler ist von Vorteil. Er behebt häufig auftretende Sicherheitslücken und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das wertvolle Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu reparieren, in dem immer wieder dieselben Fehler auftreten.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheitsexperten, von denen Sie nie wussten, dass Sie sie haben. Bei Turnieren können diejenigen entdeckt werden, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür zeigen. Diese Champions sind von entscheidender Bedeutung, um die Dynamik aufrechtzuerhalten und als Kontaktpunkt zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und die Richtlinien für bewährte Verfahren aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen und eine starke Inklusion für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum schauen Sie sich nicht früher an, als Sie denken, wie ein Entwickler-Turnier Sie ans Ziel bringen kann?
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Stell dir vor, du baust etwas von Grund auf neu und setzt deine Fähigkeiten und deine Erfahrung mit Meisterschaft ein, um der Welt einen kleinen, aber besonderen Stempel aufzudrücken. Ob alleine oder als Teil eines Teams, du setzt dein Herz und deine Seele ein, um etwas aus dem Nichts aufzubauen. Du verbringst Hunderte — vielleicht sogar Tausende — von Stunden damit, um sicherzustellen, dass dein Baby das Beste ist, was es sein kann. Nach Abschluss kann sich diese Erfolgswelle wie eine Belohnung für sich allein anfühlen.
Stellen Sie sich nun vor, ein Spielverderber kommt und sagt Ihnen, dass es nicht so toll ist. Vielleicht gehen sie noch einen Schritt weiter und sagen dir, nein, trotz der Energie, Zeit und Liebe, die du geopfert hast, ist es eigentlich nicht einmal nutzbar: es ist kaputt. Sie haben dir im Wesentlichen gesagt, dass dein Baby hässlich ist.
Das obige Szenario wird sicherlich zu Spannungen führen; wer will schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Leider kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Bereitstellung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die dasselbe Ziel verfolgen, aber so unterschiedliche Sprachen sprechen, dass sie sich uneins zu sein scheinen.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung abschließen, ohne viel über sicheres Programmieren zu lernen, kommt es oft vor, dass sie beim Eintritt in die Belegschaft zum ersten Mal mit der Sicherheitsausbildung in Kontakt kommen. Schulungen im Klassenzimmer sind eine häufig genutzte Lösung, aber sie nehmen der Bereitstellung von Funktionen wertvolle Zeit ab (und seien wir ehrlich: Wenn der Lehrer und die Inhalte zu wenig stimulierend sind, kann das für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Videokurse, Prüfungen in Papierform und allgemeine Schulungen zur Unternehmenssicherheit... all dies kann so unspezifisch sein, dass sie im täglichen Arbeitsleben eines durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird es als eine Compliance-Übung behandelt, bei der das Kästchen angekreuzt und weitergemacht wird, und zu oft hat es den gegenteiligen Effekt: Es vergrößert nur die Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint herkömmliche Schulungen nicht den positiven Effekt auf Sicherheitskultur und Compliance zu haben, nach dem wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration (CWE) Gemeinschaft, es gibt mehr als 700 Häufig Softwaresicherheitslücken, gegen die man kämpfen muss. Manche, wie SQL Injection, sind wie Kakerlaken, die nicht zerquetscht wurden trotz ihrer Existenz seit mehr als zwanzig Jahren. Wir wissen wie das Problem behoben werden kann; die Schulung soll Entwicklern die Möglichkeit geben, dem und vielen anderen Einhalt zu gebieten, doch Pen-Tests und manuelle Codeüberprüfungsprozesse identifizieren diese Verstöße kontinuierlich.
Vielleicht haben wir das alles falsch betrachtet, und wir als Branche müssen eine tragfähige Ausbildung aus einem anderen Blickwinkel betrachten... einen, der die großartigen Fähigkeiten unserer Entwickler nutzt. Sie sind kreative, wissbegierige Problemlöser, die Herausforderungen lieben. Sicherheitstraining spielerisch zu gestalten bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, zu üben, indem sie es tun — und wer weiß, vielleicht verlieben sie sich nebenbei in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Wenn wir uns hauptsächlich auf (ziemlich ungenaue) Tools, teure Pen-Tests und seltene AppSec-Spezialisten verlassen, werden wir immer tiefer in das schwarze Sicherheitsloch stürzen. Zu viel von unserem Leben und unserer Privatsphäre findet online statt, als dass Unternehmen weiterhin mit den virtuellen Festungen, die unsere Daten schützen, die Vorsicht über den Wind schlagen könnten. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns den Superhelden zuwenden, die die ganze Zeit im Büro saßen: dem Entwicklungsteam.
Gamifizierte Schulungen in relevanten Sprachen und Frameworks sind ein wirksames Instrument für AppSec-Manager, um mit der Transformation der Sicherheitskultur im Unternehmen zu beginnen. Von der Schulung aus können Entwickler ihre neu entwickelten Sicherheitsmuskeln in einer unterhaltsamen Turnierumgebung unter Beweis stellen, die so aufregend sein kann, wie Ihre Fantasie es nur heraufbeschwören kann: Schauen Sie sich einfach an, wie Das „Game of Codes“ von IAG bekamen jedermann sie sprechen über Sicherheit innerhalb ihrer Organisation.
Code Warriors sichern Turnier-Modul bietet mehr als nur eine nette kleine Obergrenze für einen gemessenen Schulungsaufwand: Es ist eine Plattform, auf der jeder Entwickler seine Fähigkeiten überprüfen, sehen kann, wie weit er seit Beginn der Schulung fortgeschritten ist, und Bereiche identifizieren kann, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt ist wirklich ein Motivator, sich positiv mit dem Thema Sicherheit auseinanderzusetzen. Durch Belohnung und Anerkennung wird das Wachstum einer soliden Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens unterstützt.
Ein bisschen Spaß in eine Aufgabe zu stecken, die als mühsame — wenn nicht sogar entmutigende — Aufgabe angesehen werden kann, kann viel dazu beitragen, negative Denkweisen zu ändern und zu anhaltender Teilnahme anzuregen. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerbsumfeld mehr Punkte zu erzielen als seine Kollegen?
Champions gehen unter euch
Gamifizierte Schulungen und anschließende Turniere tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein Sicherheitsentwickler ist von Vorteil. Er behebt häufig auftretende Sicherheitslücken und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das wertvolle Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu reparieren, in dem immer wieder dieselben Fehler auftreten.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheitsexperten, von denen Sie nie wussten, dass Sie sie haben. Bei Turnieren können diejenigen entdeckt werden, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür zeigen. Diese Champions sind von entscheidender Bedeutung, um die Dynamik aufrechtzuerhalten und als Kontaktpunkt zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und die Richtlinien für bewährte Verfahren aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen und eine starke Inklusion für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum schauen Sie sich nicht früher an, als Sie denken, wie ein Entwickler-Turnier Sie ans Ziel bringen kann?
Stell dir vor, du baust etwas von Grund auf neu und setzt deine Fähigkeiten und deine Erfahrung mit Meisterschaft ein, um der Welt einen kleinen, aber besonderen Stempel aufzudrücken. Ob alleine oder als Teil eines Teams, du setzt dein Herz und deine Seele ein, um etwas aus dem Nichts aufzubauen. Du verbringst Hunderte — vielleicht sogar Tausende — von Stunden damit, um sicherzustellen, dass dein Baby das Beste ist, was es sein kann. Nach Abschluss kann sich diese Erfolgswelle wie eine Belohnung für sich allein anfühlen.
Stellen Sie sich nun vor, ein Spielverderber kommt und sagt Ihnen, dass es nicht so toll ist. Vielleicht gehen sie noch einen Schritt weiter und sagen dir, nein, trotz der Energie, Zeit und Liebe, die du geopfert hast, ist es eigentlich nicht einmal nutzbar: es ist kaputt. Sie haben dir im Wesentlichen gesagt, dass dein Baby hässlich ist.
Das obige Szenario wird sicherlich zu Spannungen führen; wer will schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Leider kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Bereitstellung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die dasselbe Ziel verfolgen, aber so unterschiedliche Sprachen sprechen, dass sie sich uneins zu sein scheinen.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung abschließen, ohne viel über sicheres Programmieren zu lernen, kommt es oft vor, dass sie beim Eintritt in die Belegschaft zum ersten Mal mit der Sicherheitsausbildung in Kontakt kommen. Schulungen im Klassenzimmer sind eine häufig genutzte Lösung, aber sie nehmen der Bereitstellung von Funktionen wertvolle Zeit ab (und seien wir ehrlich: Wenn der Lehrer und die Inhalte zu wenig stimulierend sind, kann das für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Videokurse, Prüfungen in Papierform und allgemeine Schulungen zur Unternehmenssicherheit... all dies kann so unspezifisch sein, dass sie im täglichen Arbeitsleben eines durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird es als eine Compliance-Übung behandelt, bei der das Kästchen angekreuzt und weitergemacht wird, und zu oft hat es den gegenteiligen Effekt: Es vergrößert nur die Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint herkömmliche Schulungen nicht den positiven Effekt auf Sicherheitskultur und Compliance zu haben, nach dem wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration (CWE) Gemeinschaft, es gibt mehr als 700 Häufig Softwaresicherheitslücken, gegen die man kämpfen muss. Manche, wie SQL Injection, sind wie Kakerlaken, die nicht zerquetscht wurden trotz ihrer Existenz seit mehr als zwanzig Jahren. Wir wissen wie das Problem behoben werden kann; die Schulung soll Entwicklern die Möglichkeit geben, dem und vielen anderen Einhalt zu gebieten, doch Pen-Tests und manuelle Codeüberprüfungsprozesse identifizieren diese Verstöße kontinuierlich.
Vielleicht haben wir das alles falsch betrachtet, und wir als Branche müssen eine tragfähige Ausbildung aus einem anderen Blickwinkel betrachten... einen, der die großartigen Fähigkeiten unserer Entwickler nutzt. Sie sind kreative, wissbegierige Problemlöser, die Herausforderungen lieben. Sicherheitstraining spielerisch zu gestalten bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, zu üben, indem sie es tun — und wer weiß, vielleicht verlieben sie sich nebenbei in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Wenn wir uns hauptsächlich auf (ziemlich ungenaue) Tools, teure Pen-Tests und seltene AppSec-Spezialisten verlassen, werden wir immer tiefer in das schwarze Sicherheitsloch stürzen. Zu viel von unserem Leben und unserer Privatsphäre findet online statt, als dass Unternehmen weiterhin mit den virtuellen Festungen, die unsere Daten schützen, die Vorsicht über den Wind schlagen könnten. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns den Superhelden zuwenden, die die ganze Zeit im Büro saßen: dem Entwicklungsteam.
Gamifizierte Schulungen in relevanten Sprachen und Frameworks sind ein wirksames Instrument für AppSec-Manager, um mit der Transformation der Sicherheitskultur im Unternehmen zu beginnen. Von der Schulung aus können Entwickler ihre neu entwickelten Sicherheitsmuskeln in einer unterhaltsamen Turnierumgebung unter Beweis stellen, die so aufregend sein kann, wie Ihre Fantasie es nur heraufbeschwören kann: Schauen Sie sich einfach an, wie Das „Game of Codes“ von IAG bekamen jedermann sie sprechen über Sicherheit innerhalb ihrer Organisation.
Code Warriors sichern Turnier-Modul bietet mehr als nur eine nette kleine Obergrenze für einen gemessenen Schulungsaufwand: Es ist eine Plattform, auf der jeder Entwickler seine Fähigkeiten überprüfen, sehen kann, wie weit er seit Beginn der Schulung fortgeschritten ist, und Bereiche identifizieren kann, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt ist wirklich ein Motivator, sich positiv mit dem Thema Sicherheit auseinanderzusetzen. Durch Belohnung und Anerkennung wird das Wachstum einer soliden Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens unterstützt.
Ein bisschen Spaß in eine Aufgabe zu stecken, die als mühsame — wenn nicht sogar entmutigende — Aufgabe angesehen werden kann, kann viel dazu beitragen, negative Denkweisen zu ändern und zu anhaltender Teilnahme anzuregen. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerbsumfeld mehr Punkte zu erzielen als seine Kollegen?
Champions gehen unter euch
Gamifizierte Schulungen und anschließende Turniere tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein Sicherheitsentwickler ist von Vorteil. Er behebt häufig auftretende Sicherheitslücken und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das wertvolle Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu reparieren, in dem immer wieder dieselben Fehler auftreten.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheitsexperten, von denen Sie nie wussten, dass Sie sie haben. Bei Turnieren können diejenigen entdeckt werden, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür zeigen. Diese Champions sind von entscheidender Bedeutung, um die Dynamik aufrechtzuerhalten und als Kontaktpunkt zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und die Richtlinien für bewährte Verfahren aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen und eine starke Inklusion für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum schauen Sie sich nicht früher an, als Sie denken, wie ein Entwickler-Turnier Sie ans Ziel bringen kann?
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Stell dir vor, du baust etwas von Grund auf neu und setzt deine Fähigkeiten und deine Erfahrung mit Meisterschaft ein, um der Welt einen kleinen, aber besonderen Stempel aufzudrücken. Ob alleine oder als Teil eines Teams, du setzt dein Herz und deine Seele ein, um etwas aus dem Nichts aufzubauen. Du verbringst Hunderte — vielleicht sogar Tausende — von Stunden damit, um sicherzustellen, dass dein Baby das Beste ist, was es sein kann. Nach Abschluss kann sich diese Erfolgswelle wie eine Belohnung für sich allein anfühlen.
Stellen Sie sich nun vor, ein Spielverderber kommt und sagt Ihnen, dass es nicht so toll ist. Vielleicht gehen sie noch einen Schritt weiter und sagen dir, nein, trotz der Energie, Zeit und Liebe, die du geopfert hast, ist es eigentlich nicht einmal nutzbar: es ist kaputt. Sie haben dir im Wesentlichen gesagt, dass dein Baby hässlich ist.
Das obige Szenario wird sicherlich zu Spannungen führen; wer will schon, dass seine harte Arbeit auseinandergenommen und als unzureichend verurteilt wird? Leider kann dies für viele Entwickler die Realität ihrer Beziehung zum AppSec-Team sein. Ein Entwickler trägt die Hauptverantwortung für die Entwicklung von Software, die funktional und funktionsreich ist und innerhalb strenger Projektfristen geliefert wird. Sicherheit hat selten Priorität und kann sogar als Hindernis für eine schnelle Bereitstellung und Innovation angesehen werden. AppSec hat die wenig beneidenswerte Aufgabe, Code akribisch zu überprüfen, Pen-Tests durchzuführen und dann die schlechte Nachricht zu melden: das Vorhandensein von Sicherheitslücken in Code, der oft bereits begangen wurde. Das ist ein teurer Prozess in einer Umgebung, in der es oft an Ressourcen und Zeit mangelt. Das Setup führt unweigerlich zu einer Kluft zwischen zwei Teams, die dasselbe Ziel verfolgen, aber so unterschiedliche Sprachen sprechen, dass sie sich uneins zu sein scheinen.
Finden Sie nicht, dass es an der Zeit ist, dass wir die Sicherheit überarbeiten? Es ist so einfach, die Konversation zu ändern und alles ein bisschen positiver zu gestalten (ganz zu schweigen vom Spaß!) für beide Seiten, insbesondere für das Entwicklungsteam.
Raus aus dem Klassenzimmer, rein in die Spielarena
Da viele Entwickler eine Berufsausbildung abschließen, ohne viel über sicheres Programmieren zu lernen, kommt es oft vor, dass sie beim Eintritt in die Belegschaft zum ersten Mal mit der Sicherheitsausbildung in Kontakt kommen. Schulungen im Klassenzimmer sind eine häufig genutzte Lösung, aber sie nehmen der Bereitstellung von Funktionen wertvolle Zeit ab (und seien wir ehrlich: Wenn der Lehrer und die Inhalte zu wenig stimulierend sind, kann das für alle eine leicht vergessene Zeitverschwendung sein). Es gibt auch Videokurse, Prüfungen in Papierform und allgemeine Schulungen zur Unternehmenssicherheit... all dies kann so unspezifisch sein, dass sie im täglichen Arbeitsleben eines durchschnittlichen Entwicklers nutzlos sind.
Allzu oft wird es als eine Compliance-Übung behandelt, bei der das Kästchen angekreuzt und weitergemacht wird, und zu oft hat es den gegenteiligen Effekt: Es vergrößert nur die Kluft zwischen AppSec und dem Entwicklerteam. Schließlich scheint herkömmliche Schulungen nicht den positiven Effekt auf Sicherheitskultur und Compliance zu haben, nach dem wir als Branche so verzweifelt suchen. Wir machen immer wieder die gleichen Fehler.
Laut der Common Weakness Enumeration (CWE) Gemeinschaft, es gibt mehr als 700 Häufig Softwaresicherheitslücken, gegen die man kämpfen muss. Manche, wie SQL Injection, sind wie Kakerlaken, die nicht zerquetscht wurden trotz ihrer Existenz seit mehr als zwanzig Jahren. Wir wissen wie das Problem behoben werden kann; die Schulung soll Entwicklern die Möglichkeit geben, dem und vielen anderen Einhalt zu gebieten, doch Pen-Tests und manuelle Codeüberprüfungsprozesse identifizieren diese Verstöße kontinuierlich.
Vielleicht haben wir das alles falsch betrachtet, und wir als Branche müssen eine tragfähige Ausbildung aus einem anderen Blickwinkel betrachten... einen, der die großartigen Fähigkeiten unserer Entwickler nutzt. Sie sind kreative, wissbegierige Problemlöser, die Herausforderungen lieben. Sicherheitstraining spielerisch zu gestalten bedeutet, ihre Sprache zu sprechen, ihnen zu ermöglichen, zu üben, indem sie es tun — und wer weiß, vielleicht verlieben sie sich nebenbei in die Sicherheit.
Ein bisschen gesunder Wettbewerb
Wenn wir uns hauptsächlich auf (ziemlich ungenaue) Tools, teure Pen-Tests und seltene AppSec-Spezialisten verlassen, werden wir immer tiefer in das schwarze Sicherheitsloch stürzen. Zu viel von unserem Leben und unserer Privatsphäre findet online statt, als dass Unternehmen weiterhin mit den virtuellen Festungen, die unsere Daten schützen, die Vorsicht über den Wind schlagen könnten. Da die digitale Transformation unserer Welt unsere Abhängigkeit von Software erhöht, müssen wir uns den Superhelden zuwenden, die die ganze Zeit im Büro saßen: dem Entwicklungsteam.
Gamifizierte Schulungen in relevanten Sprachen und Frameworks sind ein wirksames Instrument für AppSec-Manager, um mit der Transformation der Sicherheitskultur im Unternehmen zu beginnen. Von der Schulung aus können Entwickler ihre neu entwickelten Sicherheitsmuskeln in einer unterhaltsamen Turnierumgebung unter Beweis stellen, die so aufregend sein kann, wie Ihre Fantasie es nur heraufbeschwören kann: Schauen Sie sich einfach an, wie Das „Game of Codes“ von IAG bekamen jedermann sie sprechen über Sicherheit innerhalb ihrer Organisation.
Code Warriors sichern Turnier-Modul bietet mehr als nur eine nette kleine Obergrenze für einen gemessenen Schulungsaufwand: Es ist eine Plattform, auf der jeder Entwickler seine Fähigkeiten überprüfen, sehen kann, wie weit er seit Beginn der Schulung fortgeschritten ist, und Bereiche identifizieren kann, die möglicherweise verbessert werden müssen. Der Wettbewerbsaspekt ist wirklich ein Motivator, sich positiv mit dem Thema Sicherheit auseinanderzusetzen. Durch Belohnung und Anerkennung wird das Wachstum einer soliden Sicherheitskultur innerhalb des Teams und des gesamten Unternehmens unterstützt.
Ein bisschen Spaß in eine Aufgabe zu stecken, die als mühsame — wenn nicht sogar entmutigende — Aufgabe angesehen werden kann, kann viel dazu beitragen, negative Denkweisen zu ändern und zu anhaltender Teilnahme anzuregen. Denn wer liebt nicht den Ruhm, in einem (gesunden) Wettbewerbsumfeld mehr Punkte zu erzielen als seine Kollegen?
Champions gehen unter euch
Gamifizierte Schulungen und anschließende Turniere tragen wesentlich zur Förderung einer positiven Sicherheitskultur bei, da AppSec- und Entwicklungsteams viel mehr Einblick in die tägliche Arbeit des jeweils anderen erhalten. Ein Sicherheitsentwickler ist von Vorteil. Er behebt häufig auftretende Sicherheitslücken und überlässt die komplexen Probleme den knappen AppSec-Spezialisten vor Ort. Bessere Beziehungen wachsen und gedeihen, und das wertvolle Sicherheitsbudget wird nicht aufgebraucht, um ein „Groundhog Day“ -Szenario zu reparieren, in dem immer wieder dieselben Fehler auftreten.
Es gibt jedoch noch ein weiteres starkes Nebenprodukt: die Enthüllung der Sicherheitsexperten, von denen Sie nie wussten, dass Sie sie haben. Bei Turnieren können diejenigen entdeckt werden, die nicht nur ein Faible für Sicherheit haben, sondern auch aktiv eine Leidenschaft dafür zeigen. Diese Champions sind von entscheidender Bedeutung, um die Dynamik aufrechtzuerhalten und als Kontaktpunkt zwischen den Teams zu fungieren, die Kollegen zu beaufsichtigen und die Richtlinien für bewährte Verfahren aufrechtzuerhalten. Die Implementierung eines soliden Champion-Programms, das Anerkennung und Unterstützung von Führungskräften beinhaltet, ist ein Pluspunkt für das Unternehmen und eine starke Inklusion für den Lebenslauf und die zukünftige Karriere des Einzelnen.
Die Quintessenz? Wir müssen bessere Ergebnisse bei Sicherheitstests fordern. Weniger häufige Fehler, mehr Unterstützung für diejenigen, die an vorderster Front stehen. Warum schauen Sie sich nicht früher an, als Sie denken, wie ein Entwickler-Turnier Sie ans Ziel bringen kann?
%20(1).avif)
.avif)
