Kontextuelles, praktisches Lernen: Die überragende Art, Ihr Gehirn für Sicherheit zu trainieren
Es tut mir leid, ich muss schlechte Nachrichten überbringen.
Traditionelles Training ist tot.
Nun, okay, das ist es nicht... aber es sollte wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffizientesten Möglichkeiten für Menschen ist, eine Ausbildung zu erhalten, eine Gruppe von Leuten in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich einer Umschulung zu unterziehen. Und wenn es um Unternehmensschulungen geht, verbessern sich diese Statistiken nicht. Der Harvard Business Review veröffentlichte eine Studie zur Effektivität von Präsenzschulungen für Neueinstellungen großer Unternehmen, wobei festgestellt wurde, dass für diese Lernmethode durchschnittlich acht bis zwölf Monate um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist ein sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich daran zu gewöhnen, wenn Sie der neue Mitarbeiter sind). Heutzutage haben die meisten Unternehmen nicht diese Zeit; unweigerlich werden Ecken und Kanten gekürzt, die Mitarbeiter erhalten nicht die Schulung, die sie benötigen, und ein Unternehmen verliert viel Wert, der viel früher erreicht werden könnte.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und überwältigende Videoschulungen angewiesen sind, um ihre besten und klügsten Mitarbeiter in die Best Practices des Unternehmens oder neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training. Wie sich herausstellt, sind wir Menschen viel besser darin, Informationen zu speichern, wenn wir uns mit neuen Ideen und Prozessen auseinandersetzen.
Nun, wenn es um Entwickler geht... sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler geht hervor, dass traditionelle Schulungen meine Welt nicht gerade aus den Angeln heben. Entwickler sind in der Regel kreative, findige Problemlöser, die die Tools viel lieber verwenden würden, als in einem Klassenzimmer belehrt zu werden oder vor endlosen Videos mit einem sprechenden Kopf zu sitzen, wenn er versucht, neue Informationen zu lernen. Wenn Sie sich insbesondere die Sicherheitsschulungen ansehen, scheint es in der aktuellen Situation eine klare Diskrepanz zu geben: Entwickler versäumen es, häufig auftretende Sicherheitslücken in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Experten die Haare raufen, wenn sie immer wieder mit denselben leicht zu lösenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich weiterhin mit den bewährten Methoden der sicheren Entwicklung zu beschäftigen. Ihr Hauptziel ist der Aufbau von Funktionen, aber da das Cyberrisiko für jedes Unternehmen schnell zunimmt, können wir es uns einfach nicht leisten, Sicherheitswissen länger zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Sicherheitslücken allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec hört auf, ihre Haare um eine Handvoll zu verlieren).
Wie sieht es also genau aus, Entwickler mit kontextbezogenem Training zu beauftragen?
Beispiele aus der realen Welt sind unglaublich mächtig.
Stellen Sie sich vor, wir müssten alle Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Du kannst dir zwar eine allgemeine Vorstellung davon machen, wie ein Auto funktioniert, sowie die Abfolge der Ereignisse, die ausgelöst werden, um dich auf der Straße zu bewegen, aber es wäre praktisch unmöglich, gut fahren zu lernen, bis du in ein Auto steigst und es persönlich ausprobiert hast.
Kontextuelles Training ist so wertvoll, weil es den Schüler bei allem, was unterrichtet wird, in die Hand nimmt. Wenn Sie einen realen Kontext für etwas haben, wird das Lernen viel fesselnder und aussagekräftiger.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen von SQL Injection verstehen, aber das Wesentliche, das Problem tatsächlich zu lösen, vergisst man leicht, wenn Fristen drohen und die Bereitstellung von Funktionen Vorrang hat. Wenn es jedoch möglich wäre, echte Codebeispiele zu überprüfen, die Injektion zu identifizieren und sie im Rahmen einer Trainingsübung zu korrigieren weit Das gilt eher für die tägliche Arbeit eines Entwicklers als für den Versuch, einseitige Informationen aufzubewahren. Außerdem ist es für einen Entwickler verständlicher. Wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufmerksam sein.
Auf dem Sicherer Codekrieger Als Plattform haben wir das sichere Code-Training spielerisch gestaltet und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System fördert das wiederholte Spielen und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen vermitteln, wenn es am nützlichsten ist
Gemäß der Theorie des kontextuellen Lernens findet effektives Lernen nur statt, wenn die Schüler neue Informationen oder Kenntnisse so verarbeiten, dass es für sie innerhalb ihres individuellen Bezugsrahmens sinnvoll ist.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken von Bug-Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind möglicherweise ratlos — sogar überwältigt —, wenn sie noch nie auf diese Sicherheitslücken gestoßen sind. Schlimmer noch, die meisten Berichte richten sich an Experten für Anwendungssicherheit und nicht an Entwickler. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die nicht direkt auf einen Entwickler zutreffen.
Vor Kurzem haben wir die Möglichkeit hinzugefügt, direkt Deep-Links zu praktischen Schulungen zu Sicherheitslücken aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstestberichten zu erstellen. Entwickler können sofort die Grundlagen verstehen und gute Programmierrezepte für ihr spezielles Framework erlernen.
Auf diese Weise zu lernen, stellt sicher, dass Entwickler Wissen und Schulungen zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist weitaus wahrscheinlicher, dass sie diese Informationen langfristig behalten.
Schnellere Ergebnisse, weniger Störungen, glücklichere Camper.
Bei jeder Schulung ist ein direkter Zusammenhang mit Ihren täglichen Aktivitäten weitaus aussagekräftiger als der Versuch, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im „Lernmodus“ oder schlimmer noch — Sie müssen Dinge, die Sie bereits „gelernt“ haben, noch einmal durchgehen, wenn Sie eine Antwort auf etwas benötigen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, sodass jede Komponente des Trainings die vorherige ergänzt, sodass ein schrittweiser Prozess ermöglicht wird, der den Teilnehmern den Weg zur Meisterschaft ebnet. Auch dies unterstützen wir auf unserer Plattform mit einem Gurtsystem, das dem eines Karate-Dojos ähnelt. Jeder beginnt mit einem weißen Gürtel, bevor er den begehrten schwarzen Gürtel oder die Stufe des „Sicherheitschampions“ erreicht, nachdem er die notwendigen Trainingsstunden und die Teilnahme an Turnieren geleistet hat. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Sie möchten die besten Talente an sich binden und sie für das Thema Sicherheit sensibilisieren? Geben Sie ihnen die Tools an die Hand, um erfolgreich zu sein.
Es ist eine bedauerliche Realität, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten derzeit eine knappe (aber wichtige) Ressource sind. Es ist auch bekanntermaßen schwierig, an ihnen festzuhalten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und ergab, dass Investitionen in ihre Schulung ein Schlüsselelement für die Bindung wertvoller Mitarbeiter waren. Ihre Ergebnisse zeigen, dass Unternehmen, die die Tools und Schulungen zur Förderung ihrer internen Sicherheitskompetenzen bereitstellen, Sicherheitsprofis um 60% häufiger an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65% der Befragten zogen es vor, dass diese Schulung praxisorientiert war. Ziemlich ordentlich, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80% der Befragten fühlen sich nicht ausreichend darauf vorbereitet, ihr Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos kostspieliger Datenschutzverletzungen und Angriffe ist heute mehr denn je erforderlich. Und, nun ja, ich mag voreingenommen sein, aber die Plattform von Secure Code Warrior könnte das Tool sein, das Sie benötigen, um eine positive Sicherheitskultur zu fördern, Entwickler weiterzubilden und mit den kontextbezogenen Schulungen zu unterstützen, die sie lieben, und Ihr Unternehmen vor den Bösewichten zu schützen. Eine Demo anfragen und wir zeigen dir mehr.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und nervenaufreibende Videoschulungen angewiesen sind, um ihre Besten und Intelligentesten in neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Es tut mir leid, ich muss schlechte Nachrichten überbringen.
Traditionelles Training ist tot.
Nun, okay, das ist es nicht... aber es sollte wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffizientesten Möglichkeiten für Menschen ist, eine Ausbildung zu erhalten, eine Gruppe von Leuten in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich einer Umschulung zu unterziehen. Und wenn es um Unternehmensschulungen geht, verbessern sich diese Statistiken nicht. Der Harvard Business Review veröffentlichte eine Studie zur Effektivität von Präsenzschulungen für Neueinstellungen großer Unternehmen, wobei festgestellt wurde, dass für diese Lernmethode durchschnittlich acht bis zwölf Monate um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist ein sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich daran zu gewöhnen, wenn Sie der neue Mitarbeiter sind). Heutzutage haben die meisten Unternehmen nicht diese Zeit; unweigerlich werden Ecken und Kanten gekürzt, die Mitarbeiter erhalten nicht die Schulung, die sie benötigen, und ein Unternehmen verliert viel Wert, der viel früher erreicht werden könnte.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und überwältigende Videoschulungen angewiesen sind, um ihre besten und klügsten Mitarbeiter in die Best Practices des Unternehmens oder neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training. Wie sich herausstellt, sind wir Menschen viel besser darin, Informationen zu speichern, wenn wir uns mit neuen Ideen und Prozessen auseinandersetzen.
Nun, wenn es um Entwickler geht... sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler geht hervor, dass traditionelle Schulungen meine Welt nicht gerade aus den Angeln heben. Entwickler sind in der Regel kreative, findige Problemlöser, die die Tools viel lieber verwenden würden, als in einem Klassenzimmer belehrt zu werden oder vor endlosen Videos mit einem sprechenden Kopf zu sitzen, wenn er versucht, neue Informationen zu lernen. Wenn Sie sich insbesondere die Sicherheitsschulungen ansehen, scheint es in der aktuellen Situation eine klare Diskrepanz zu geben: Entwickler versäumen es, häufig auftretende Sicherheitslücken in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Experten die Haare raufen, wenn sie immer wieder mit denselben leicht zu lösenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich weiterhin mit den bewährten Methoden der sicheren Entwicklung zu beschäftigen. Ihr Hauptziel ist der Aufbau von Funktionen, aber da das Cyberrisiko für jedes Unternehmen schnell zunimmt, können wir es uns einfach nicht leisten, Sicherheitswissen länger zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Sicherheitslücken allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec hört auf, ihre Haare um eine Handvoll zu verlieren).
Wie sieht es also genau aus, Entwickler mit kontextbezogenem Training zu beauftragen?
Beispiele aus der realen Welt sind unglaublich mächtig.
Stellen Sie sich vor, wir müssten alle Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Du kannst dir zwar eine allgemeine Vorstellung davon machen, wie ein Auto funktioniert, sowie die Abfolge der Ereignisse, die ausgelöst werden, um dich auf der Straße zu bewegen, aber es wäre praktisch unmöglich, gut fahren zu lernen, bis du in ein Auto steigst und es persönlich ausprobiert hast.
Kontextuelles Training ist so wertvoll, weil es den Schüler bei allem, was unterrichtet wird, in die Hand nimmt. Wenn Sie einen realen Kontext für etwas haben, wird das Lernen viel fesselnder und aussagekräftiger.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen von SQL Injection verstehen, aber das Wesentliche, das Problem tatsächlich zu lösen, vergisst man leicht, wenn Fristen drohen und die Bereitstellung von Funktionen Vorrang hat. Wenn es jedoch möglich wäre, echte Codebeispiele zu überprüfen, die Injektion zu identifizieren und sie im Rahmen einer Trainingsübung zu korrigieren weit Das gilt eher für die tägliche Arbeit eines Entwicklers als für den Versuch, einseitige Informationen aufzubewahren. Außerdem ist es für einen Entwickler verständlicher. Wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufmerksam sein.
Auf dem Sicherer Codekrieger Als Plattform haben wir das sichere Code-Training spielerisch gestaltet und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System fördert das wiederholte Spielen und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen vermitteln, wenn es am nützlichsten ist
Gemäß der Theorie des kontextuellen Lernens findet effektives Lernen nur statt, wenn die Schüler neue Informationen oder Kenntnisse so verarbeiten, dass es für sie innerhalb ihres individuellen Bezugsrahmens sinnvoll ist.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken von Bug-Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind möglicherweise ratlos — sogar überwältigt —, wenn sie noch nie auf diese Sicherheitslücken gestoßen sind. Schlimmer noch, die meisten Berichte richten sich an Experten für Anwendungssicherheit und nicht an Entwickler. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die nicht direkt auf einen Entwickler zutreffen.
Vor Kurzem haben wir die Möglichkeit hinzugefügt, direkt Deep-Links zu praktischen Schulungen zu Sicherheitslücken aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstestberichten zu erstellen. Entwickler können sofort die Grundlagen verstehen und gute Programmierrezepte für ihr spezielles Framework erlernen.
Auf diese Weise zu lernen, stellt sicher, dass Entwickler Wissen und Schulungen zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist weitaus wahrscheinlicher, dass sie diese Informationen langfristig behalten.
Schnellere Ergebnisse, weniger Störungen, glücklichere Camper.
Bei jeder Schulung ist ein direkter Zusammenhang mit Ihren täglichen Aktivitäten weitaus aussagekräftiger als der Versuch, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im „Lernmodus“ oder schlimmer noch — Sie müssen Dinge, die Sie bereits „gelernt“ haben, noch einmal durchgehen, wenn Sie eine Antwort auf etwas benötigen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, sodass jede Komponente des Trainings die vorherige ergänzt, sodass ein schrittweiser Prozess ermöglicht wird, der den Teilnehmern den Weg zur Meisterschaft ebnet. Auch dies unterstützen wir auf unserer Plattform mit einem Gurtsystem, das dem eines Karate-Dojos ähnelt. Jeder beginnt mit einem weißen Gürtel, bevor er den begehrten schwarzen Gürtel oder die Stufe des „Sicherheitschampions“ erreicht, nachdem er die notwendigen Trainingsstunden und die Teilnahme an Turnieren geleistet hat. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Sie möchten die besten Talente an sich binden und sie für das Thema Sicherheit sensibilisieren? Geben Sie ihnen die Tools an die Hand, um erfolgreich zu sein.
Es ist eine bedauerliche Realität, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten derzeit eine knappe (aber wichtige) Ressource sind. Es ist auch bekanntermaßen schwierig, an ihnen festzuhalten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und ergab, dass Investitionen in ihre Schulung ein Schlüsselelement für die Bindung wertvoller Mitarbeiter waren. Ihre Ergebnisse zeigen, dass Unternehmen, die die Tools und Schulungen zur Förderung ihrer internen Sicherheitskompetenzen bereitstellen, Sicherheitsprofis um 60% häufiger an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65% der Befragten zogen es vor, dass diese Schulung praxisorientiert war. Ziemlich ordentlich, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80% der Befragten fühlen sich nicht ausreichend darauf vorbereitet, ihr Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos kostspieliger Datenschutzverletzungen und Angriffe ist heute mehr denn je erforderlich. Und, nun ja, ich mag voreingenommen sein, aber die Plattform von Secure Code Warrior könnte das Tool sein, das Sie benötigen, um eine positive Sicherheitskultur zu fördern, Entwickler weiterzubilden und mit den kontextbezogenen Schulungen zu unterstützen, die sie lieben, und Ihr Unternehmen vor den Bösewichten zu schützen. Eine Demo anfragen und wir zeigen dir mehr.
Es tut mir leid, ich muss schlechte Nachrichten überbringen.
Traditionelles Training ist tot.
Nun, okay, das ist es nicht... aber es sollte wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffizientesten Möglichkeiten für Menschen ist, eine Ausbildung zu erhalten, eine Gruppe von Leuten in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich einer Umschulung zu unterziehen. Und wenn es um Unternehmensschulungen geht, verbessern sich diese Statistiken nicht. Der Harvard Business Review veröffentlichte eine Studie zur Effektivität von Präsenzschulungen für Neueinstellungen großer Unternehmen, wobei festgestellt wurde, dass für diese Lernmethode durchschnittlich acht bis zwölf Monate um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist ein sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich daran zu gewöhnen, wenn Sie der neue Mitarbeiter sind). Heutzutage haben die meisten Unternehmen nicht diese Zeit; unweigerlich werden Ecken und Kanten gekürzt, die Mitarbeiter erhalten nicht die Schulung, die sie benötigen, und ein Unternehmen verliert viel Wert, der viel früher erreicht werden könnte.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und überwältigende Videoschulungen angewiesen sind, um ihre besten und klügsten Mitarbeiter in die Best Practices des Unternehmens oder neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training. Wie sich herausstellt, sind wir Menschen viel besser darin, Informationen zu speichern, wenn wir uns mit neuen Ideen und Prozessen auseinandersetzen.
Nun, wenn es um Entwickler geht... sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler geht hervor, dass traditionelle Schulungen meine Welt nicht gerade aus den Angeln heben. Entwickler sind in der Regel kreative, findige Problemlöser, die die Tools viel lieber verwenden würden, als in einem Klassenzimmer belehrt zu werden oder vor endlosen Videos mit einem sprechenden Kopf zu sitzen, wenn er versucht, neue Informationen zu lernen. Wenn Sie sich insbesondere die Sicherheitsschulungen ansehen, scheint es in der aktuellen Situation eine klare Diskrepanz zu geben: Entwickler versäumen es, häufig auftretende Sicherheitslücken in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Experten die Haare raufen, wenn sie immer wieder mit denselben leicht zu lösenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich weiterhin mit den bewährten Methoden der sicheren Entwicklung zu beschäftigen. Ihr Hauptziel ist der Aufbau von Funktionen, aber da das Cyberrisiko für jedes Unternehmen schnell zunimmt, können wir es uns einfach nicht leisten, Sicherheitswissen länger zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Sicherheitslücken allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec hört auf, ihre Haare um eine Handvoll zu verlieren).
Wie sieht es also genau aus, Entwickler mit kontextbezogenem Training zu beauftragen?
Beispiele aus der realen Welt sind unglaublich mächtig.
Stellen Sie sich vor, wir müssten alle Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Du kannst dir zwar eine allgemeine Vorstellung davon machen, wie ein Auto funktioniert, sowie die Abfolge der Ereignisse, die ausgelöst werden, um dich auf der Straße zu bewegen, aber es wäre praktisch unmöglich, gut fahren zu lernen, bis du in ein Auto steigst und es persönlich ausprobiert hast.
Kontextuelles Training ist so wertvoll, weil es den Schüler bei allem, was unterrichtet wird, in die Hand nimmt. Wenn Sie einen realen Kontext für etwas haben, wird das Lernen viel fesselnder und aussagekräftiger.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen von SQL Injection verstehen, aber das Wesentliche, das Problem tatsächlich zu lösen, vergisst man leicht, wenn Fristen drohen und die Bereitstellung von Funktionen Vorrang hat. Wenn es jedoch möglich wäre, echte Codebeispiele zu überprüfen, die Injektion zu identifizieren und sie im Rahmen einer Trainingsübung zu korrigieren weit Das gilt eher für die tägliche Arbeit eines Entwicklers als für den Versuch, einseitige Informationen aufzubewahren. Außerdem ist es für einen Entwickler verständlicher. Wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufmerksam sein.
Auf dem Sicherer Codekrieger Als Plattform haben wir das sichere Code-Training spielerisch gestaltet und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System fördert das wiederholte Spielen und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen vermitteln, wenn es am nützlichsten ist
Gemäß der Theorie des kontextuellen Lernens findet effektives Lernen nur statt, wenn die Schüler neue Informationen oder Kenntnisse so verarbeiten, dass es für sie innerhalb ihres individuellen Bezugsrahmens sinnvoll ist.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken von Bug-Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind möglicherweise ratlos — sogar überwältigt —, wenn sie noch nie auf diese Sicherheitslücken gestoßen sind. Schlimmer noch, die meisten Berichte richten sich an Experten für Anwendungssicherheit und nicht an Entwickler. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die nicht direkt auf einen Entwickler zutreffen.
Vor Kurzem haben wir die Möglichkeit hinzugefügt, direkt Deep-Links zu praktischen Schulungen zu Sicherheitslücken aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstestberichten zu erstellen. Entwickler können sofort die Grundlagen verstehen und gute Programmierrezepte für ihr spezielles Framework erlernen.
Auf diese Weise zu lernen, stellt sicher, dass Entwickler Wissen und Schulungen zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist weitaus wahrscheinlicher, dass sie diese Informationen langfristig behalten.
Schnellere Ergebnisse, weniger Störungen, glücklichere Camper.
Bei jeder Schulung ist ein direkter Zusammenhang mit Ihren täglichen Aktivitäten weitaus aussagekräftiger als der Versuch, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im „Lernmodus“ oder schlimmer noch — Sie müssen Dinge, die Sie bereits „gelernt“ haben, noch einmal durchgehen, wenn Sie eine Antwort auf etwas benötigen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, sodass jede Komponente des Trainings die vorherige ergänzt, sodass ein schrittweiser Prozess ermöglicht wird, der den Teilnehmern den Weg zur Meisterschaft ebnet. Auch dies unterstützen wir auf unserer Plattform mit einem Gurtsystem, das dem eines Karate-Dojos ähnelt. Jeder beginnt mit einem weißen Gürtel, bevor er den begehrten schwarzen Gürtel oder die Stufe des „Sicherheitschampions“ erreicht, nachdem er die notwendigen Trainingsstunden und die Teilnahme an Turnieren geleistet hat. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Sie möchten die besten Talente an sich binden und sie für das Thema Sicherheit sensibilisieren? Geben Sie ihnen die Tools an die Hand, um erfolgreich zu sein.
Es ist eine bedauerliche Realität, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten derzeit eine knappe (aber wichtige) Ressource sind. Es ist auch bekanntermaßen schwierig, an ihnen festzuhalten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und ergab, dass Investitionen in ihre Schulung ein Schlüsselelement für die Bindung wertvoller Mitarbeiter waren. Ihre Ergebnisse zeigen, dass Unternehmen, die die Tools und Schulungen zur Förderung ihrer internen Sicherheitskompetenzen bereitstellen, Sicherheitsprofis um 60% häufiger an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65% der Befragten zogen es vor, dass diese Schulung praxisorientiert war. Ziemlich ordentlich, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80% der Befragten fühlen sich nicht ausreichend darauf vorbereitet, ihr Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos kostspieliger Datenschutzverletzungen und Angriffe ist heute mehr denn je erforderlich. Und, nun ja, ich mag voreingenommen sein, aber die Plattform von Secure Code Warrior könnte das Tool sein, das Sie benötigen, um eine positive Sicherheitskultur zu fördern, Entwickler weiterzubilden und mit den kontextbezogenen Schulungen zu unterstützen, die sie lieben, und Ihr Unternehmen vor den Bösewichten zu schützen. Eine Demo anfragen und wir zeigen dir mehr.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Es tut mir leid, ich muss schlechte Nachrichten überbringen.
Traditionelles Training ist tot.
Nun, okay, das ist es nicht... aber es sollte wahrscheinlich sein. Immer wieder haben Studien gezeigt, dass es eine der ineffizientesten Möglichkeiten für Menschen ist, eine Ausbildung zu erhalten, eine Gruppe von Leuten in ein Klassenzimmer zu stecken, um etwas Neues zu lernen, eine Compliance-Aufgabe abzuhaken oder sich einer Umschulung zu unterziehen. Und wenn es um Unternehmensschulungen geht, verbessern sich diese Statistiken nicht. Der Harvard Business Review veröffentlichte eine Studie zur Effektivität von Präsenzschulungen für Neueinstellungen großer Unternehmen, wobei festgestellt wurde, dass für diese Lernmethode durchschnittlich acht bis zwölf Monate um neue Mitarbeiter auf den neuesten Stand zu bringen und produktiv zu machen. Das ist ein sehr lange Zeit, um die Fähigkeiten einer Person voll auszuschöpfen (und eine lange Zeit, um sich daran zu gewöhnen, wenn Sie der neue Mitarbeiter sind). Heutzutage haben die meisten Unternehmen nicht diese Zeit; unweigerlich werden Ecken und Kanten gekürzt, die Mitarbeiter erhalten nicht die Schulung, die sie benötigen, und ein Unternehmen verliert viel Wert, der viel früher erreicht werden könnte.
Es ist wirklich überwältigend, dass viele Orte immer noch auf Klassenzimmer, trockene Lehrbücher und überwältigende Videoschulungen angewiesen sind, um ihre besten und klügsten Mitarbeiter in die Best Practices des Unternehmens oder neue Initiativen einzubeziehen, insbesondere wenn es eine weitaus bessere, ansprechendere und wertvollere Art des Lernens gibt: kontextbezogenes Training. Wie sich herausstellt, sind wir Menschen viel besser darin, Informationen zu speichern, wenn wir uns mit neuen Ideen und Prozessen auseinandersetzen.
Nun, wenn es um Entwickler geht... sind wir ein besonderer Haufen. Aus meiner eigenen Erfahrung als Entwickler geht hervor, dass traditionelle Schulungen meine Welt nicht gerade aus den Angeln heben. Entwickler sind in der Regel kreative, findige Problemlöser, die die Tools viel lieber verwenden würden, als in einem Klassenzimmer belehrt zu werden oder vor endlosen Videos mit einem sprechenden Kopf zu sitzen, wenn er versucht, neue Informationen zu lernen. Wenn Sie sich insbesondere die Sicherheitsschulungen ansehen, scheint es in der aktuellen Situation eine klare Diskrepanz zu geben: Entwickler versäumen es, häufig auftretende Sicherheitslücken in ihrem Code zu beheben, was dazu führt, dass sich AppSec-Experten die Haare raufen, wenn sie immer wieder mit denselben leicht zu lösenden Problemen konfrontiert werden. Die Beziehung zwischen diesen Teams ist angespannt, und die Entwickler erhalten nicht die richtigen Tools und Schulungen, um sich weiterhin mit den bewährten Methoden der sicheren Entwicklung zu beschäftigen. Ihr Hauptziel ist der Aufbau von Funktionen, aber da das Cyberrisiko für jedes Unternehmen schnell zunimmt, können wir es uns einfach nicht leisten, Sicherheitswissen länger zu ignorieren und zu vernachlässigen.
Und das Beste daran? Wenn Entwickler sicherheitsbewusst sind, verschwinden diese häufigen Sicherheitslücken allmählich. Das Risiko wird reduziert, ebenso wie die Kosten für die Behebung von Fehlern im Spätstadium (und AppSec hört auf, ihre Haare um eine Handvoll zu verlieren).
Wie sieht es also genau aus, Entwickler mit kontextbezogenem Training zu beauftragen?
Beispiele aus der realen Welt sind unglaublich mächtig.
Stellen Sie sich vor, wir müssten alle Autofahren lernen, indem wir uns Videos auf YouTube ansehen. Du kannst dir zwar eine allgemeine Vorstellung davon machen, wie ein Auto funktioniert, sowie die Abfolge der Ereignisse, die ausgelöst werden, um dich auf der Straße zu bewegen, aber es wäre praktisch unmöglich, gut fahren zu lernen, bis du in ein Auto steigst und es persönlich ausprobiert hast.
Kontextuelles Training ist so wertvoll, weil es den Schüler bei allem, was unterrichtet wird, in die Hand nimmt. Wenn Sie einen realen Kontext für etwas haben, wird das Lernen viel fesselnder und aussagekräftiger.
Wenn es um sichere Codierung geht, kann sich jeder ein Video ansehen und die Grundlagen von SQL Injection verstehen, aber das Wesentliche, das Problem tatsächlich zu lösen, vergisst man leicht, wenn Fristen drohen und die Bereitstellung von Funktionen Vorrang hat. Wenn es jedoch möglich wäre, echte Codebeispiele zu überprüfen, die Injektion zu identifizieren und sie im Rahmen einer Trainingsübung zu korrigieren weit Das gilt eher für die tägliche Arbeit eines Entwicklers als für den Versuch, einseitige Informationen aufzubewahren. Außerdem ist es für einen Entwickler verständlicher. Wenn er Code sieht, der dem ähnelt, was er normalerweise schreibt, wird er aufstehen und aufmerksam sein.
Auf dem Sicherer Codekrieger Als Plattform haben wir das sichere Code-Training spielerisch gestaltet und bieten eine Vielzahl von Herausforderungen in mehreren Sprachen und Frameworks. Das System fördert das wiederholte Spielen und ist vor allem sofort anpassbar, um die richtige Umgebung für echtes kontextbezogenes Lernen zu bieten.
Wissen vermitteln, wenn es am nützlichsten ist
Gemäß der Theorie des kontextuellen Lernens findet effektives Lernen nur statt, wenn die Schüler neue Informationen oder Kenntnisse so verarbeiten, dass es für sie innerhalb ihres individuellen Bezugsrahmens sinnvoll ist.
Stellen Sie sich vor, ein Entwickler erhält eine Liste von Sicherheitslücken von Bug-Bounty-Programmen, SAST-Tools oder Bug-Tracking-Software. Sie sind möglicherweise ratlos — sogar überwältigt —, wenn sie noch nie auf diese Sicherheitslücken gestoßen sind. Schlimmer noch, die meisten Berichte richten sich an Experten für Anwendungssicherheit und nicht an Entwickler. Die Informationen in den Berichten sind schwer zu analysieren und enthalten oft allgemeine Ratschläge, die nicht direkt auf einen Entwickler zutreffen.
Vor Kurzem haben wir die Möglichkeit hinzugefügt, direkt Deep-Links zu praktischen Schulungen zu Sicherheitslücken aus Bug-Bounty-Programmen, SAST-Tools, Bug-Tracking-Software und Penetrationstestberichten zu erstellen. Entwickler können sofort die Grundlagen verstehen und gute Programmierrezepte für ihr spezielles Framework erlernen.
Auf diese Weise zu lernen, stellt sicher, dass Entwickler Wissen und Schulungen zu Konzepten erhalten, wenn sie am relevantesten sind, und es ist weitaus wahrscheinlicher, dass sie diese Informationen langfristig behalten.
Schnellere Ergebnisse, weniger Störungen, glücklichere Camper.
Bei jeder Schulung ist ein direkter Zusammenhang mit Ihren täglichen Aktivitäten weitaus aussagekräftiger als der Versuch, etwas Allgemeines auf Ihre Arbeit anzuwenden. Sie verbringen weniger Zeit im „Lernmodus“ oder schlimmer noch — Sie müssen Dinge, die Sie bereits „gelernt“ haben, noch einmal durchgehen, wenn Sie eine Antwort auf etwas benötigen.
Eines der Prinzipien des kontextuellen Trainings ist die Fähigkeit, auf Wissen aufzubauen, sodass jede Komponente des Trainings die vorherige ergänzt, sodass ein schrittweiser Prozess ermöglicht wird, der den Teilnehmern den Weg zur Meisterschaft ebnet. Auch dies unterstützen wir auf unserer Plattform mit einem Gurtsystem, das dem eines Karate-Dojos ähnelt. Jeder beginnt mit einem weißen Gürtel, bevor er den begehrten schwarzen Gürtel oder die Stufe des „Sicherheitschampions“ erreicht, nachdem er die notwendigen Trainingsstunden und die Teilnahme an Turnieren geleistet hat. Es ist ein unterhaltsamer Ansatz mit realem Wert und praktischer Anwendung.
Sie möchten die besten Talente an sich binden und sie für das Thema Sicherheit sensibilisieren? Geben Sie ihnen die Tools an die Hand, um erfolgreich zu sein.
Es ist eine bedauerliche Realität, dass sicherheitsbewusste Entwickler und AppSec-Spezialisten derzeit eine knappe (aber wichtige) Ressource sind. Es ist auch bekanntermaßen schwierig, an ihnen festzuhalten.
Cybrary führte 2018 eine Umfrage unter 3100 IT- und Sicherheitsexperten durch und ergab, dass Investitionen in ihre Schulung ein Schlüsselelement für die Bindung wertvoller Mitarbeiter waren. Ihre Ergebnisse zeigen, dass Unternehmen, die die Tools und Schulungen zur Förderung ihrer internen Sicherheitskompetenzen bereitstellen, Sicherheitsprofis um 60% häufiger an sich binden konnten als Unternehmen, die dies nicht taten, und satte 65% der Befragten zogen es vor, dass diese Schulung praxisorientiert war. Ziemlich ordentlich, oder?
Die Umfrageergebnisse lieferten jedoch auch eine ziemlich alarmierende Enthüllung: 80% der Befragten fühlen sich nicht ausreichend darauf vorbereitet, ihr Unternehmen vor Cyberbedrohungen zu schützen. Diese Bedrohungen werden nicht verschwinden, und das richtige Training zur Bekämpfung des wachsenden Risikos kostspieliger Datenschutzverletzungen und Angriffe ist heute mehr denn je erforderlich. Und, nun ja, ich mag voreingenommen sein, aber die Plattform von Secure Code Warrior könnte das Tool sein, das Sie benötigen, um eine positive Sicherheitskultur zu fördern, Entwickler weiterzubilden und mit den kontextbezogenen Schulungen zu unterstützen, die sie lieben, und Ihr Unternehmen vor den Bösewichten zu schützen. Eine Demo anfragen und wir zeigen dir mehr.
Table des matières
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
