Code aus dem Käfig: Warum sichere Entwickler unbegrenzt versenden können
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Es scheint verblüffend, dass die meisten Entwickler, die an Code arbeiten, der kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen antreibt, dies tun, ohne vorher ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen?
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Table des matières
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
