Les incitations pour les développeurs sont essentielles pour améliorer les pratiques de sécurité.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Les développeurs professionnels souhaitent utiliser DevSecOps et écrire du code sécurisé, mais leurs organisations doivent soutenir ce changement de culture si elles souhaitent que cet effort se développe.
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
