Die Vorteile des Benchmarkings von Sicherheitskompetenzen für Entwickler
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
結論
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Der zunehmende Fokus auf sicheren Code und die Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden. Tools wie der Trust Score von Secure Code Warrior helfen dabei, ihre Fortschritte zu messen und zu verbessern.
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
結論
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
結論
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
結論
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約するダウンロード
%20(1).avif)
.avif)
