Die Millionen-Dollar-Frage, die jeder Entwickler seinen potenziellen Arbeitgebern stellen sollte
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
%20(1).avif)
.avif)
