Förderung des sinnvollen Erfolgs von Secure-by-Design-Initiativen für Unternehmen
Es war ermutigend, Zeuge von CISA zu werden Sicher durch Design Die (SBD) -Bewegung gewinnt weltweit an Dynamik, da sich die Vereinigten Staaten, Australien, Neuseeland, Kanada, Singapur, Japan, Deutschland und das Vereinigte Königreich verpflichten, ähnliche Richtlinien in ihre umfassenderen Cybersicherheitsstrategien einzubinden, und viele dieser Nationen tragen ebenfalls zu den ursprünglichen Empfehlungen bei.
Seit April 2024 haben mehr als 200 Unternehmen, darunter Sicherer Codekrieger, haben das unterschrieben „Secure-by-Design“ -Versprechen, was auf ein breiteres Engagement der Branche für höhere Softwarequalitäts- und Sicherheitsstandards hindeutet. Unserer Ansicht nach sind diese Richtlinien ein entscheidender Moment für Führungskräfte im Bereich Cybersicherheit, die zum ersten Mal die Unterstützung der globalen Regierung für einen bedeutenden kulturellen Wandel in der Softwareentwicklung erhalten. Diese Empfehlungen sind zwar noch nicht verbindlich, es sei denn, Softwareanbieter verkaufen direkt an die US-Regierung, aber ich sehe darin nicht nur die Zukunft, sondern auch eine einmalige Gelegenheit, sich gegen Bedrohungsakteure zu wehren. Im Mittelpunkt der Richtlinien steht das Bestreben, Folgendes zu entfernen Kategorien Angesichts der zahlreichen Sicherheitslücken und einer branchenweiten Fokussierung auf dieses Ziel könnten wir den größten und positivsten Einfluss auf die digitale Sicherheit seit Jahrzehnten erzielen.
Wir glauben, dass diese Bewegung von entscheidender Bedeutung ist, und unser neuestes Forschungspapier Benchmarking von Sicherheitskompetenzen: Rationalisierung von Secure-by-Design im Unternehmen ist das Ergebnis einer eingehenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Erkenntnisse.
Messung des ROI organisatorischer Secure-by-Design-Bemühungen
Eine Überarbeitung der seit langem etablierten Softwareentwicklungspraktiken ist kein leichtes Unterfangen. CISOs stehen oft vor der Herausforderung, die Investitionsrendite (ROI) und den Geschäftswert der Aktivitäten von Sicherheitsprogrammen sowohl auf Personal- als auch auf Unternehmensebene nachzuweisen. Viele sind zunehmend frustriert über die Budgetkürzung und die mangelnde Zustimmung der obersten Führungskräfte zu neuen Cyberinitiativen. Ein datengestützter Vorschlag wird hier jedoch den entscheidenden Unterschied ausmachen.
In den letzten Jahren war das Fehlen eines Qualifikationsvergleichs, anhand dessen Unternehmen beurteilen können, wie sie im Vergleich zu Industriestandards abschneiden, eine zentrale Herausforderung. Dies hat es unglaublich schwierig gemacht, Sicherheitsprogramme zu entwickeln und umzusetzen, die sich auf die richtigen Bereiche auswirken und die kontinuierliche Verbesserung der Entwicklungskohorte fördern, was ein entscheidendes Element erfolgreicher Softwaresicherheitspraktiken ist.
Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen besteht nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. Deshalb haben wir beschlossen, die Bereitschaft des Entwicklerteams zu analysieren, und die Ergebnisse könnten überraschen.
Wie Unternehmen, die versuchen, ihre SBD-Initiativen zu beschleunigen, den Trust Score nutzen können
Ohne eine solide Vorstellung davon, wo Sie anfangen und wohin Sie gehen müssen, ist es praktisch unmöglich, sich effizient zu verbessern. Hunderte von Unternehmenskunden nutzen dies jedoch effektiv SCW-Vertrauenswert— ein globaler Benchmark, der die Sicherheitskompetenzen von Entwicklerteams quantifiziert — zur Bereitstellung dieser hilfreichen, detaillierten Datenpunkte. Diese Erkenntnisse bilden die Grundlage für hochwirksame, entwicklerorientierte Sicherheitsprogramme, die erfolgreichen Secure-by-Design-Initiativen förderlich sind.
Die in unserem Whitepaper enthüllte Analyse zeigt, dass Unternehmen in den wichtigsten Branchen für kritische Infrastrukturen Fortschritte dabei machen, ihre Entwickler auf die Weiterentwicklung ihrer SBD-Initiativen vorzubereiten. Wir haben auch festgestellt, dass die Entwicklerteams dieser Branchen über ein durchschnittliches Sicherheitsniveau verfügen.
Die Analyse von Secure Code Warrior zur Weiterbildung von Entwicklern in kritischen Infrastrukturbranchen basiert auf Erkenntnissen aus über 20 Millionen Datenpunkten von 600 Unternehmenskunden und mehr als 250.000 aktiven Entwicklern auf der ganzen Welt. Die Analyse ergab, dass:
- Die Gesamtzahl der Entwickler, die derzeit an entwicklerorientierten SBD-Weiterbildungsinitiativen beteiligt sind, beträgt weniger als 4% aller Entwickler weltweit;
- Die Finanzdienstleistungsbranche verfügte mit 336 über den höchsten Vertrauenswert;
- Die meisten groß angelegten Secure-by-Design-Weiterbildungsinitiativen sind erfolgreich, während kleinere Initiativen eher verstreut sind. Es hat sich jedoch gezeigt, dass sie, wenn ihnen ein Mandat erteilt wurde, früher eine messbare Kapitalrendite (ROI) erzielen;
- Wenn Weiterbildungsinitiativen fest verankert sind, sind die Risiken, die Entwickler in Anwendungen mit sich bringen, erheblich geringer. Die Analyse ergab, dass Entwickler, die an großen Weiterbildungsinitiativen beteiligt sind (7000 Entwickler+ in einem Unternehmen), die Sicherheitslücken vorhersehbar um 47-53% reduzieren können.
Die Lösung | Fazit
SCW Trust Score ist ein leistungsstarkes Tool im Arsenal eines jeden Sicherheitsspezialisten, das einen umfassenden Drilldown zu bestimmten Bereichen innerhalb eines Unternehmens ermöglicht. Berichte können nach Sprachen, Teams oder Kategorien gefiltert werden, sodass maßgeschneiderte Berichte erstellt werden, die es Unternehmen ermöglichen, auf die spezifischen Bedürfnisse von Entwicklern oder Teams einzugehen und die Bereiche zu identifizieren, in denen zusätzliche Schulungen oder Coachings erforderlich sind. Schließlich ist Sicherheit ein nie endendes Unterfangen. Ein effektiver Leistungsvergleich hilft dabei, Möglichkeiten für kontinuierliche Verbesserungen zu identifizieren.
Die beschleunigte Softwareentwicklung und -bereitstellung in Verbindung mit einer immer bedrohlicheren Cyber-Bedrohungslandschaft und zunehmend falkenäugigen Aufsichtsbehörden haben die Cybersicherheit in den Vordergrund gerückt. Unternehmen müssen, sofern sie das nicht bereits getan haben, der Entwicklung einer unternehmensweiten Kultur, bei der Sicherheit an erster Stelle steht, Priorität einräumen.
Unser neuestes Forschungspapier, Benchmarking Security Skills: Streamlining Secure-by-Design in the Enterprise, ist das Ergebnis einer eingehenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Ergebnisse.
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Es war ermutigend, Zeuge von CISA zu werden Sicher durch Design Die (SBD) -Bewegung gewinnt weltweit an Dynamik, da sich die Vereinigten Staaten, Australien, Neuseeland, Kanada, Singapur, Japan, Deutschland und das Vereinigte Königreich verpflichten, ähnliche Richtlinien in ihre umfassenderen Cybersicherheitsstrategien einzubinden, und viele dieser Nationen tragen ebenfalls zu den ursprünglichen Empfehlungen bei.
Seit April 2024 haben mehr als 200 Unternehmen, darunter Sicherer Codekrieger, haben das unterschrieben „Secure-by-Design“ -Versprechen, was auf ein breiteres Engagement der Branche für höhere Softwarequalitäts- und Sicherheitsstandards hindeutet. Unserer Ansicht nach sind diese Richtlinien ein entscheidender Moment für Führungskräfte im Bereich Cybersicherheit, die zum ersten Mal die Unterstützung der globalen Regierung für einen bedeutenden kulturellen Wandel in der Softwareentwicklung erhalten. Diese Empfehlungen sind zwar noch nicht verbindlich, es sei denn, Softwareanbieter verkaufen direkt an die US-Regierung, aber ich sehe darin nicht nur die Zukunft, sondern auch eine einmalige Gelegenheit, sich gegen Bedrohungsakteure zu wehren. Im Mittelpunkt der Richtlinien steht das Bestreben, Folgendes zu entfernen Kategorien Angesichts der zahlreichen Sicherheitslücken und einer branchenweiten Fokussierung auf dieses Ziel könnten wir den größten und positivsten Einfluss auf die digitale Sicherheit seit Jahrzehnten erzielen.
Wir glauben, dass diese Bewegung von entscheidender Bedeutung ist, und unser neuestes Forschungspapier Benchmarking von Sicherheitskompetenzen: Rationalisierung von Secure-by-Design im Unternehmen ist das Ergebnis einer eingehenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Erkenntnisse.
Messung des ROI organisatorischer Secure-by-Design-Bemühungen
Eine Überarbeitung der seit langem etablierten Softwareentwicklungspraktiken ist kein leichtes Unterfangen. CISOs stehen oft vor der Herausforderung, die Investitionsrendite (ROI) und den Geschäftswert der Aktivitäten von Sicherheitsprogrammen sowohl auf Personal- als auch auf Unternehmensebene nachzuweisen. Viele sind zunehmend frustriert über die Budgetkürzung und die mangelnde Zustimmung der obersten Führungskräfte zu neuen Cyberinitiativen. Ein datengestützter Vorschlag wird hier jedoch den entscheidenden Unterschied ausmachen.
In den letzten Jahren war das Fehlen eines Qualifikationsvergleichs, anhand dessen Unternehmen beurteilen können, wie sie im Vergleich zu Industriestandards abschneiden, eine zentrale Herausforderung. Dies hat es unglaublich schwierig gemacht, Sicherheitsprogramme zu entwickeln und umzusetzen, die sich auf die richtigen Bereiche auswirken und die kontinuierliche Verbesserung der Entwicklungskohorte fördern, was ein entscheidendes Element erfolgreicher Softwaresicherheitspraktiken ist.
Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen besteht nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. Deshalb haben wir beschlossen, die Bereitschaft des Entwicklerteams zu analysieren, und die Ergebnisse könnten überraschen.
Wie Unternehmen, die versuchen, ihre SBD-Initiativen zu beschleunigen, den Trust Score nutzen können
Ohne eine solide Vorstellung davon, wo Sie anfangen und wohin Sie gehen müssen, ist es praktisch unmöglich, sich effizient zu verbessern. Hunderte von Unternehmenskunden nutzen dies jedoch effektiv SCW-Vertrauenswert— ein globaler Benchmark, der die Sicherheitskompetenzen von Entwicklerteams quantifiziert — zur Bereitstellung dieser hilfreichen, detaillierten Datenpunkte. Diese Erkenntnisse bilden die Grundlage für hochwirksame, entwicklerorientierte Sicherheitsprogramme, die erfolgreichen Secure-by-Design-Initiativen förderlich sind.
Die in unserem Whitepaper enthüllte Analyse zeigt, dass Unternehmen in den wichtigsten Branchen für kritische Infrastrukturen Fortschritte dabei machen, ihre Entwickler auf die Weiterentwicklung ihrer SBD-Initiativen vorzubereiten. Wir haben auch festgestellt, dass die Entwicklerteams dieser Branchen über ein durchschnittliches Sicherheitsniveau verfügen.
Die Analyse von Secure Code Warrior zur Weiterbildung von Entwicklern in kritischen Infrastrukturbranchen basiert auf Erkenntnissen aus über 20 Millionen Datenpunkten von 600 Unternehmenskunden und mehr als 250.000 aktiven Entwicklern auf der ganzen Welt. Die Analyse ergab, dass:
- Die Gesamtzahl der Entwickler, die derzeit an entwicklerorientierten SBD-Weiterbildungsinitiativen beteiligt sind, beträgt weniger als 4% aller Entwickler weltweit;
- Die Finanzdienstleistungsbranche verfügte mit 336 über den höchsten Vertrauenswert;
- Die meisten groß angelegten Secure-by-Design-Weiterbildungsinitiativen sind erfolgreich, während kleinere Initiativen eher verstreut sind. Es hat sich jedoch gezeigt, dass sie, wenn ihnen ein Mandat erteilt wurde, früher eine messbare Kapitalrendite (ROI) erzielen;
- Wenn Weiterbildungsinitiativen fest verankert sind, sind die Risiken, die Entwickler in Anwendungen mit sich bringen, erheblich geringer. Die Analyse ergab, dass Entwickler, die an großen Weiterbildungsinitiativen beteiligt sind (7000 Entwickler+ in einem Unternehmen), die Sicherheitslücken vorhersehbar um 47-53% reduzieren können.
Die Lösung | Fazit
SCW Trust Score ist ein leistungsstarkes Tool im Arsenal eines jeden Sicherheitsspezialisten, das einen umfassenden Drilldown zu bestimmten Bereichen innerhalb eines Unternehmens ermöglicht. Berichte können nach Sprachen, Teams oder Kategorien gefiltert werden, sodass maßgeschneiderte Berichte erstellt werden, die es Unternehmen ermöglichen, auf die spezifischen Bedürfnisse von Entwicklern oder Teams einzugehen und die Bereiche zu identifizieren, in denen zusätzliche Schulungen oder Coachings erforderlich sind. Schließlich ist Sicherheit ein nie endendes Unterfangen. Ein effektiver Leistungsvergleich hilft dabei, Möglichkeiten für kontinuierliche Verbesserungen zu identifizieren.
Die beschleunigte Softwareentwicklung und -bereitstellung in Verbindung mit einer immer bedrohlicheren Cyber-Bedrohungslandschaft und zunehmend falkenäugigen Aufsichtsbehörden haben die Cybersicherheit in den Vordergrund gerückt. Unternehmen müssen, sofern sie das nicht bereits getan haben, der Entwicklung einer unternehmensweiten Kultur, bei der Sicherheit an erster Stelle steht, Priorität einräumen.
Es war ermutigend, Zeuge von CISA zu werden Sicher durch Design Die (SBD) -Bewegung gewinnt weltweit an Dynamik, da sich die Vereinigten Staaten, Australien, Neuseeland, Kanada, Singapur, Japan, Deutschland und das Vereinigte Königreich verpflichten, ähnliche Richtlinien in ihre umfassenderen Cybersicherheitsstrategien einzubinden, und viele dieser Nationen tragen ebenfalls zu den ursprünglichen Empfehlungen bei.
Seit April 2024 haben mehr als 200 Unternehmen, darunter Sicherer Codekrieger, haben das unterschrieben „Secure-by-Design“ -Versprechen, was auf ein breiteres Engagement der Branche für höhere Softwarequalitäts- und Sicherheitsstandards hindeutet. Unserer Ansicht nach sind diese Richtlinien ein entscheidender Moment für Führungskräfte im Bereich Cybersicherheit, die zum ersten Mal die Unterstützung der globalen Regierung für einen bedeutenden kulturellen Wandel in der Softwareentwicklung erhalten. Diese Empfehlungen sind zwar noch nicht verbindlich, es sei denn, Softwareanbieter verkaufen direkt an die US-Regierung, aber ich sehe darin nicht nur die Zukunft, sondern auch eine einmalige Gelegenheit, sich gegen Bedrohungsakteure zu wehren. Im Mittelpunkt der Richtlinien steht das Bestreben, Folgendes zu entfernen Kategorien Angesichts der zahlreichen Sicherheitslücken und einer branchenweiten Fokussierung auf dieses Ziel könnten wir den größten und positivsten Einfluss auf die digitale Sicherheit seit Jahrzehnten erzielen.
Wir glauben, dass diese Bewegung von entscheidender Bedeutung ist, und unser neuestes Forschungspapier Benchmarking von Sicherheitskompetenzen: Rationalisierung von Secure-by-Design im Unternehmen ist das Ergebnis einer eingehenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Erkenntnisse.
Messung des ROI organisatorischer Secure-by-Design-Bemühungen
Eine Überarbeitung der seit langem etablierten Softwareentwicklungspraktiken ist kein leichtes Unterfangen. CISOs stehen oft vor der Herausforderung, die Investitionsrendite (ROI) und den Geschäftswert der Aktivitäten von Sicherheitsprogrammen sowohl auf Personal- als auch auf Unternehmensebene nachzuweisen. Viele sind zunehmend frustriert über die Budgetkürzung und die mangelnde Zustimmung der obersten Führungskräfte zu neuen Cyberinitiativen. Ein datengestützter Vorschlag wird hier jedoch den entscheidenden Unterschied ausmachen.
In den letzten Jahren war das Fehlen eines Qualifikationsvergleichs, anhand dessen Unternehmen beurteilen können, wie sie im Vergleich zu Industriestandards abschneiden, eine zentrale Herausforderung. Dies hat es unglaublich schwierig gemacht, Sicherheitsprogramme zu entwickeln und umzusetzen, die sich auf die richtigen Bereiche auswirken und die kontinuierliche Verbesserung der Entwicklungskohorte fördern, was ein entscheidendes Element erfolgreicher Softwaresicherheitspraktiken ist.
Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen besteht nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. Deshalb haben wir beschlossen, die Bereitschaft des Entwicklerteams zu analysieren, und die Ergebnisse könnten überraschen.
Wie Unternehmen, die versuchen, ihre SBD-Initiativen zu beschleunigen, den Trust Score nutzen können
Ohne eine solide Vorstellung davon, wo Sie anfangen und wohin Sie gehen müssen, ist es praktisch unmöglich, sich effizient zu verbessern. Hunderte von Unternehmenskunden nutzen dies jedoch effektiv SCW-Vertrauenswert— ein globaler Benchmark, der die Sicherheitskompetenzen von Entwicklerteams quantifiziert — zur Bereitstellung dieser hilfreichen, detaillierten Datenpunkte. Diese Erkenntnisse bilden die Grundlage für hochwirksame, entwicklerorientierte Sicherheitsprogramme, die erfolgreichen Secure-by-Design-Initiativen förderlich sind.
Die in unserem Whitepaper enthüllte Analyse zeigt, dass Unternehmen in den wichtigsten Branchen für kritische Infrastrukturen Fortschritte dabei machen, ihre Entwickler auf die Weiterentwicklung ihrer SBD-Initiativen vorzubereiten. Wir haben auch festgestellt, dass die Entwicklerteams dieser Branchen über ein durchschnittliches Sicherheitsniveau verfügen.
Die Analyse von Secure Code Warrior zur Weiterbildung von Entwicklern in kritischen Infrastrukturbranchen basiert auf Erkenntnissen aus über 20 Millionen Datenpunkten von 600 Unternehmenskunden und mehr als 250.000 aktiven Entwicklern auf der ganzen Welt. Die Analyse ergab, dass:
- Die Gesamtzahl der Entwickler, die derzeit an entwicklerorientierten SBD-Weiterbildungsinitiativen beteiligt sind, beträgt weniger als 4% aller Entwickler weltweit;
- Die Finanzdienstleistungsbranche verfügte mit 336 über den höchsten Vertrauenswert;
- Die meisten groß angelegten Secure-by-Design-Weiterbildungsinitiativen sind erfolgreich, während kleinere Initiativen eher verstreut sind. Es hat sich jedoch gezeigt, dass sie, wenn ihnen ein Mandat erteilt wurde, früher eine messbare Kapitalrendite (ROI) erzielen;
- Wenn Weiterbildungsinitiativen fest verankert sind, sind die Risiken, die Entwickler in Anwendungen mit sich bringen, erheblich geringer. Die Analyse ergab, dass Entwickler, die an großen Weiterbildungsinitiativen beteiligt sind (7000 Entwickler+ in einem Unternehmen), die Sicherheitslücken vorhersehbar um 47-53% reduzieren können.
Die Lösung | Fazit
SCW Trust Score ist ein leistungsstarkes Tool im Arsenal eines jeden Sicherheitsspezialisten, das einen umfassenden Drilldown zu bestimmten Bereichen innerhalb eines Unternehmens ermöglicht. Berichte können nach Sprachen, Teams oder Kategorien gefiltert werden, sodass maßgeschneiderte Berichte erstellt werden, die es Unternehmen ermöglichen, auf die spezifischen Bedürfnisse von Entwicklern oder Teams einzugehen und die Bereiche zu identifizieren, in denen zusätzliche Schulungen oder Coachings erforderlich sind. Schließlich ist Sicherheit ein nie endendes Unterfangen. Ein effektiver Leistungsvergleich hilft dabei, Möglichkeiten für kontinuierliche Verbesserungen zu identifizieren.
Die beschleunigte Softwareentwicklung und -bereitstellung in Verbindung mit einer immer bedrohlicheren Cyber-Bedrohungslandschaft und zunehmend falkenäugigen Aufsichtsbehörden haben die Cybersicherheit in den Vordergrund gerückt. Unternehmen müssen, sofern sie das nicht bereits getan haben, der Entwicklung einer unternehmensweiten Kultur, bei der Sicherheit an erster Stelle steht, Priorität einräumen.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Matias est un chercheur et un développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité des logiciels. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre entreprise Sensei Security. Au cours de sa carrière, Matias a dirigé de nombreux projets de recherche sur la sécurité des applications qui ont débouché sur des produits commerciaux et peut se targuer d'avoir déposé plus de 10 brevets. Lorsqu'il n'est pas à son bureau, Matias a été instructeur pour des formations avancées en matière de sécurité des applications ( courses ) et intervient régulièrement lors de conférences mondiales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matias est titulaire d'un doctorat en ingénierie informatique de l'Université de Gand, où il a étudié la sécurité des applications par le biais de l'obscurcissement des programmes afin de dissimuler le fonctionnement interne d'une application.
Es war ermutigend, Zeuge von CISA zu werden Sicher durch Design Die (SBD) -Bewegung gewinnt weltweit an Dynamik, da sich die Vereinigten Staaten, Australien, Neuseeland, Kanada, Singapur, Japan, Deutschland und das Vereinigte Königreich verpflichten, ähnliche Richtlinien in ihre umfassenderen Cybersicherheitsstrategien einzubinden, und viele dieser Nationen tragen ebenfalls zu den ursprünglichen Empfehlungen bei.
Seit April 2024 haben mehr als 200 Unternehmen, darunter Sicherer Codekrieger, haben das unterschrieben „Secure-by-Design“ -Versprechen, was auf ein breiteres Engagement der Branche für höhere Softwarequalitäts- und Sicherheitsstandards hindeutet. Unserer Ansicht nach sind diese Richtlinien ein entscheidender Moment für Führungskräfte im Bereich Cybersicherheit, die zum ersten Mal die Unterstützung der globalen Regierung für einen bedeutenden kulturellen Wandel in der Softwareentwicklung erhalten. Diese Empfehlungen sind zwar noch nicht verbindlich, es sei denn, Softwareanbieter verkaufen direkt an die US-Regierung, aber ich sehe darin nicht nur die Zukunft, sondern auch eine einmalige Gelegenheit, sich gegen Bedrohungsakteure zu wehren. Im Mittelpunkt der Richtlinien steht das Bestreben, Folgendes zu entfernen Kategorien Angesichts der zahlreichen Sicherheitslücken und einer branchenweiten Fokussierung auf dieses Ziel könnten wir den größten und positivsten Einfluss auf die digitale Sicherheit seit Jahrzehnten erzielen.
Wir glauben, dass diese Bewegung von entscheidender Bedeutung ist, und unser neuestes Forschungspapier Benchmarking von Sicherheitskompetenzen: Rationalisierung von Secure-by-Design im Unternehmen ist das Ergebnis einer eingehenden Analyse echter Secure-by-Design-Initiativen auf Unternehmensebene und der Ableitung von Best-Practice-Ansätzen auf der Grundlage datengestützter Erkenntnisse.
Messung des ROI organisatorischer Secure-by-Design-Bemühungen
Eine Überarbeitung der seit langem etablierten Softwareentwicklungspraktiken ist kein leichtes Unterfangen. CISOs stehen oft vor der Herausforderung, die Investitionsrendite (ROI) und den Geschäftswert der Aktivitäten von Sicherheitsprogrammen sowohl auf Personal- als auch auf Unternehmensebene nachzuweisen. Viele sind zunehmend frustriert über die Budgetkürzung und die mangelnde Zustimmung der obersten Führungskräfte zu neuen Cyberinitiativen. Ein datengestützter Vorschlag wird hier jedoch den entscheidenden Unterschied ausmachen.
In den letzten Jahren war das Fehlen eines Qualifikationsvergleichs, anhand dessen Unternehmen beurteilen können, wie sie im Vergleich zu Industriestandards abschneiden, eine zentrale Herausforderung. Dies hat es unglaublich schwierig gemacht, Sicherheitsprogramme zu entwickeln und umzusetzen, die sich auf die richtigen Bereiche auswirken und die kontinuierliche Verbesserung der Entwicklungskohorte fördern, was ein entscheidendes Element erfolgreicher Softwaresicherheitspraktiken ist.
Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen besteht nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, um sicheren Code zu gewährleisten, sondern auch darin, den Aufsichtsbehörden zu versichern, dass diese Fähigkeiten vorhanden sind. Deshalb haben wir beschlossen, die Bereitschaft des Entwicklerteams zu analysieren, und die Ergebnisse könnten überraschen.
Wie Unternehmen, die versuchen, ihre SBD-Initiativen zu beschleunigen, den Trust Score nutzen können
Ohne eine solide Vorstellung davon, wo Sie anfangen und wohin Sie gehen müssen, ist es praktisch unmöglich, sich effizient zu verbessern. Hunderte von Unternehmenskunden nutzen dies jedoch effektiv SCW-Vertrauenswert— ein globaler Benchmark, der die Sicherheitskompetenzen von Entwicklerteams quantifiziert — zur Bereitstellung dieser hilfreichen, detaillierten Datenpunkte. Diese Erkenntnisse bilden die Grundlage für hochwirksame, entwicklerorientierte Sicherheitsprogramme, die erfolgreichen Secure-by-Design-Initiativen förderlich sind.
Die in unserem Whitepaper enthüllte Analyse zeigt, dass Unternehmen in den wichtigsten Branchen für kritische Infrastrukturen Fortschritte dabei machen, ihre Entwickler auf die Weiterentwicklung ihrer SBD-Initiativen vorzubereiten. Wir haben auch festgestellt, dass die Entwicklerteams dieser Branchen über ein durchschnittliches Sicherheitsniveau verfügen.
Die Analyse von Secure Code Warrior zur Weiterbildung von Entwicklern in kritischen Infrastrukturbranchen basiert auf Erkenntnissen aus über 20 Millionen Datenpunkten von 600 Unternehmenskunden und mehr als 250.000 aktiven Entwicklern auf der ganzen Welt. Die Analyse ergab, dass:
- Die Gesamtzahl der Entwickler, die derzeit an entwicklerorientierten SBD-Weiterbildungsinitiativen beteiligt sind, beträgt weniger als 4% aller Entwickler weltweit;
- Die Finanzdienstleistungsbranche verfügte mit 336 über den höchsten Vertrauenswert;
- Die meisten groß angelegten Secure-by-Design-Weiterbildungsinitiativen sind erfolgreich, während kleinere Initiativen eher verstreut sind. Es hat sich jedoch gezeigt, dass sie, wenn ihnen ein Mandat erteilt wurde, früher eine messbare Kapitalrendite (ROI) erzielen;
- Wenn Weiterbildungsinitiativen fest verankert sind, sind die Risiken, die Entwickler in Anwendungen mit sich bringen, erheblich geringer. Die Analyse ergab, dass Entwickler, die an großen Weiterbildungsinitiativen beteiligt sind (7000 Entwickler+ in einem Unternehmen), die Sicherheitslücken vorhersehbar um 47-53% reduzieren können.
Die Lösung | Fazit
SCW Trust Score ist ein leistungsstarkes Tool im Arsenal eines jeden Sicherheitsspezialisten, das einen umfassenden Drilldown zu bestimmten Bereichen innerhalb eines Unternehmens ermöglicht. Berichte können nach Sprachen, Teams oder Kategorien gefiltert werden, sodass maßgeschneiderte Berichte erstellt werden, die es Unternehmen ermöglichen, auf die spezifischen Bedürfnisse von Entwicklern oder Teams einzugehen und die Bereiche zu identifizieren, in denen zusätzliche Schulungen oder Coachings erforderlich sind. Schließlich ist Sicherheit ein nie endendes Unterfangen. Ein effektiver Leistungsvergleich hilft dabei, Möglichkeiten für kontinuierliche Verbesserungen zu identifizieren.
Die beschleunigte Softwareentwicklung und -bereitstellung in Verbindung mit einer immer bedrohlicheren Cyber-Bedrohungslandschaft und zunehmend falkenäugigen Aufsichtsbehörden haben die Cybersicherheit in den Vordergrund gerückt. Unternehmen müssen, sofern sie das nicht bereits getan haben, der Entwicklung einer unternehmensweiten Kultur, bei der Sicherheit an erster Stelle steht, Priorität einräumen.
Table des matières
Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu son doctorat en sécurité des applications à l'université de Gand, en se concentrant sur les solutions d'analyse statique. Il a ensuite rejoint Fortify aux États-Unis, où il s'est rendu compte qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. C'est ce qui l'a incité à développer des produits qui aident les développeurs, allègent le fardeau de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de l'équipe Awesome, il aime être sur scène pour présenter des conférences, notamment RSA Conference, BlackHat et DefCon.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
