Sensibilisation certifiée à la sécurité : un décret visant à encourager les développeurs
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
.avif)
Le dernier décret exécutif du gouvernement fédéral américain traite de nombreux aspects de la cybersécurité fonctionnelle, mais décrit pour la première fois explicitement l'impact des développeurs et la nécessité pour eux de disposer de connaissances et d'une conscience vérifiées en matière de sécurité.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
