Mit wiederholbaren Fähigkeiten zum sicheren Programmieren nach links verschieben (und die Einhaltung der Vorschriften erreichen)
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.
Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.
Warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.
Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.
Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.
Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?
Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.
Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.
Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.
Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.
Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.
Zur weiteren Lektüre
Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.
Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.
Warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.
Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.
Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.
Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?
Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.
Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.
Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.
Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.
Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.
Zur weiteren Lektüre
Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.
Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.
Warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.
Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.
Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.
Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?
Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.
Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.
Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.
Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.
Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.
Zur weiteren Lektüre
Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Dieser Artikel wurde vom Branchenexpertenteam von Secure Code Warrior verfasst, das sich zum Ziel gesetzt hat, Entwicklern von Anfang an das Wissen und die Fähigkeiten zu vermitteln, um sichere Software zu entwickeln. Wir stützen uns auf fundiertes Fachwissen in Bezug auf sichere Codierungspraktiken, Branchentrends und Erkenntnisse aus der Praxis.
Fast jedes Entwicklerteam führt heutzutage irgendeine Form von Compliance-Schulung durch, sei es im Rahmen eines ersten Zertifizierungsprozesses, mit dem sichergestellt wird, dass ein Unternehmen die branchenspezifischen Rahmenbedingungen oder behördlichen Vorschriften einhält, oder im Rahmen einer jährlichen Anforderung oder Überprüfung. Dies ist ein wichtiger Schritt, denn wenn ein Unternehmen grundlegende Compliance-Anforderungen nicht erfüllen kann, können seine Mitarbeiter ihre Aufgaben nicht realistisch erfüllen.
Compliance-Regeln gibt es nicht ohne Grund, denn jeder, der in dem Bereich arbeitet, für den diese Regeln gelten, muss zumindest ein grundlegendes Verständnis aller relevanten Prozesse und Verfahren sowie aller geltenden Gesetze haben.
Compliance-Schulungen sind zwar wichtig, aber die Erfüllung der vorgeschriebenen Mindestanforderungen gewährleistet keine echte Anwendungssicherheit. Dies gilt insbesondere für Entwickler, die versuchen, sichere Programmierkenntnisse in ihren täglichen Arbeitsablauf zu integrieren. Fast jeder Entwickler durchläuft irgendeine Form von Compliance-Schulung, und dennoch, wenn er befragt wird, 67% gaben an, dass sie häufig Sicherheitslücken in ihrem Code hinterlassen haben.
Warum?
Zum zweiten Mal führte Secure Code Warrior im Dezember 2021 in Zusammenarbeit mit Evans Data Corp die „The State of Developer-Driven Security Survey, 2022" durch. Wir haben 1.200 Entwickler weltweit befragt, um die Fähigkeiten, Wahrnehmungen und Verhaltensweisen im Zusammenhang mit sicheren Programmierpraktiken sowie deren Auswirkungen und wahrgenommene Relevanz im Softwareentwicklungszyklus (SDLC) zu verstehen.
In Bezug auf die Frage, warum Compliance-Schulungen nicht zu einer verbesserten Softwaresicherheit führen, ist dies ein Thema, über das wir schon lange sprechen. Die jüngste Umfrage beleuchtet dieses Problem lediglich.
Einerseits werden Entwickler gebeten, neue Rollen einzunehmen, indem sie Cybersicherheit in den gesamten Softwareentwicklungsprozess einbeziehen, auch wenn sie anfänglich den Code für Anwendungen und Programme schreiben. Aber sicheren Code zu schreiben oder auch nur alles über die Cybersicherheitsprobleme und Sicherheitslücken zu lernen, die ihn beeinflussen könnten, ist keine leichte Aufgabe. In der Umfrage gaben 63% der Entwickler an, dass das Schreiben von sicherem Code eine schwierige Aufgabe sei.
Die Schwierigkeit, sicheren Code zu schreiben, sollte nicht überraschen. Es gibt einen Grund, warum so viele hochbezahlte Jobs im Bereich Cybersicherheit unerfüllt bleiben. Bei der letzten Zählung gab es weltweit über 3,5 Millionen offene Stellen. Wenn es einfache Arbeit wäre, würde jeder in dieses Feld springen. Es ist schwierig zu lernen, wie man Bedrohungen bekämpft und Sicherheitslücken im Code beseitigt, und die Bedrohungslandschaft ändert sich ständig. Statische Compliance-Schulungen oder einmalige Schulungen können nicht mithalten oder die Art von Schulung bieten, die Entwickler benötigen. Es setzt zwar ein Häkchen in Bezug auf die Einhaltung von Vorschriften, kann Ihrem Unternehmen jedoch keine echten Garantien für die Anwendungssicherheit bieten oder Entwicklern das Schreiben von sicherem Code oder die Fähigkeiten zum Auffinden und Beheben von Sicherheitslücken im Code vermitteln.
Compliance- und Sicherheitsschulungen sind wichtig, aber unterschiedlich
Unternehmen müssen erkennen und anerkennen, was Compliance-Schulungen bewirken können und was nicht. Brechen Sie Compliance-Schulungen nicht ab, insbesondere wenn sie gesetzlich vorgeschrieben sind. Und vor allem, weil 92% der Umfrageteilnehmer angaben (selbst mit den aktuellen Schulungsmethoden), dass sie zumindest eine gewisse Schulung zu Compliance-bezogenen Themen oder Sicherheitsrahmen benötigen, wobei 50% betonten, dass umfangreiche Compliance-Schulungen erforderlich sind.
Zu den Compliance-Frameworks, zu denen sie am meisten an Schulungen interessiert waren, gehörten auch branchenspezifische Frameworks, obwohl auch mehrere allgemeine Cybersicherheits-Frameworks auf der Liste standen. Dazu gehörten das CIS Security Framework, PCI DSS, die OWASP Top 10, MISRA C, ISO/IEC, der Health Insurance Portability and Accountability Act (HIPAA) und andere.
Also ja, trainieren Sie in diesen Frameworks, aber machen Sie sich bewusst, dass das Ankreuzen eines Kästchens bei Compliance-Schulungen nicht gleichbedeutend damit ist, eine Grundlage für die kontinuierliche Erstellung von Sicherheitscode zu schaffen.
Betrachten Sie Compliance-Schulungen stattdessen als Teil einer kontinuierlichen Gelegenheit, die Fähigkeiten Ihrer Entwickler im Bereich der sicheren Codierung zu erweitern. Diese können auch außerhalb des Compliance-Zyklus wiederholt werden, sodass sie täglich sichere Software erstellen und veröffentlichen können. Verlagern Sie die Priorität von der Einhaltung von Vorschriften hin zur Befähigung der Entwicklungsteams zum sicheren Programmieren durch kontinuierliches Lernen. Wenn Sie Zeit und Ressourcen in die Unterstützung der Entwickler investieren, werden die jährlichen Checkbox-Compliance-Übungen oder Prüfungen für Ihre Mitarbeiter zum Kinderspiel, sie zu bestehen und abzuschließen, und profitieren gleichzeitig von einer insgesamt verbesserten Produktivität.
Wie können Sie auf entwicklerorientierte Sicherheit umsteigen?
Die meisten Entwickler waren der Meinung, dass Schulungen wertvoll sind, hatten jedoch Probleme mit der Art der Schulung, die sie im Laufe der Jahre zum Thema sichere Codierung erhalten haben. Die Entwickler sagten, sie wünschten sich eine stärkere Betonung der praktischen Ausbildung anhand von Beispielen aus der Praxis, die für ihre Arbeit relevant waren (30%). Mehr Interaktivität wurde von 26% der Befragten ebenfalls als wichtig erachtet, vor allem, wenn sie im Rahmen dieser Übungen das Schreiben von sicherem Code tatsächlich üben konnten.
Der Wunsch, mehr angeleitete Schulungen zu erhalten, die sich auf die spezifischen Sicherheitslücken konzentrieren, auf die sie in ihrer Branche oder Branche am wahrscheinlichsten stoßen würden, wurde von 23% der befragten Entwickler als wichtig erachtet, während 22% mehr Beispiele aus der Praxis in ihren Schulungen sehen wollten.
Es ist klar, dass die bloße Bereitstellung statischer, nicht interaktiver Schulungen (was in der Regel bei Compliance-Schulungen der Fall ist) im Hinblick auf wiederholbare Sicherheitskompetenzen der Entwickler kaum von Nutzen ist. Stattdessen sollten sich Unternehmen auf Dinge wie Just-in-Time-Schulungen konzentrieren, bei denen Entwickler während der Arbeit über Sicherheit unterrichtet werden. Sie könnten sogar erwägen, ein mehrstufiges Lernprogramm zu implementieren.
Bei einem abgestuften Ansatz werden größere Themen in der Regel in einzelne Lernerfahrungen oder Konzepte unterteilt. Mit fortschreitender Entwicklung der Entwickler werden fortgeschrittenere Konzepte zu den bereits beherrschten Konzepten hinzugefügt, genau wie physische Gerüste gebaut werden, wenn ein Gebäude höher wird. Dies ist eine bewährte Methode, um ein schwieriges und sich ständig weiterentwickelndes Thema wie Cybersicherheit zu vermitteln, indem es zuerst in kleinere, weniger komplexe Teile zerlegt wird und dann auf dieser Grundlage mehr Komplexität aufgebaut wird.
Wie auch immer Sie sich für Ihr Sicherheitskompetenzprogramm für Entwickler entscheiden, es ist wichtig, es von Compliance-Übungen zu trennen. Sowohl Compliance- als auch Sicherheitsschulungen sind wichtig, und beide erfordern unterschiedliche Herangehensweisen, um erfolgreich zu sein.
Zur weiteren Lektüre
Whitepaper: Die Herausforderungen (und Chancen) zur Verbesserung der Softwaresicherheit.
Whitepaper: Der präventive Entwickleransatz für Softwaresicherheit.
Bericht: Der Stand der entwicklerorientierten Sicherheit.
目次
Secure Code Warrior macht sicheres Programmieren zu einer positiven und ansprechenden Erfahrung für Entwickler, die ihre Fähigkeiten erweitern. Wir begleiten jeden Programmierer auf seinem eigenen bevorzugten Lernweg, sodass sicherheitserfahrene Entwickler zu den alltäglichen Superhelden unserer vernetzten Welt werden.
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
