Minderung technischer Schulden durch entwicklerorientierte Sicherheit
Lass uns über Schulden sprechen
Fast jeder weiß jetzt, dass Cyberkriminalität zu einem wichtigen Problem unserer Weltwirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Vorjahr. Es ist wichtig, die Kosten von unsicherem Code und die damit verbundenen technischen Schulden nicht zu ignorieren. Laut 2022 Konsortium für Informations- und Softwarequalität: Die Kosten schlechter Softwarequalität Berichten zufolge sind die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen US-Dollar gestiegen, und die kumulierten technischen Softwareschulden sind auf 1,52 Billionen US-Dollar gestiegen.
Die steigenden Kosten für den Umgang mit unsicherem Code und die damit verbundenen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden — und machen sie somit anfällig für Ausnutzung und externe Bedrohungen. Der Stand der Softwaresicherheit steckt in einer existenziellen Krise. Wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden abbauen müssen, aber die Hindernisse sind enorm:
- In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen als Softwareentwickler und IT-Bereich, mit einer prognostizierten Wachstumsrate von 15%
- Es wird prognostiziert, dass bis 2025 40% der IT-Budgets einfach für die Aufrechterhaltung der Technologieverschuldung ausgegeben werden
- Durchschnittlich 1/3 der wöchentlichen Arbeitsstunden von Entwicklern werden damit verbracht, technische Schulden zu beheben
Schnelle Lösungen sind riskant — und kosten langfristig mehr
Was sind technische Schulden und warum sind sie so wichtig? Technische Schulden häufen sich an, wenn Entscheidungsträger sich für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden — und nicht für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später zahlen müssen. Ähnlich wie bei einer voll ausgeschöpften Kreditkarte bestehen technische Schulden aus zwei Hauptkomponenten:
- Schulleiter - bezieht sich auf die Gesamtkosten für die Überarbeitung oder Reparatur von Software, sodass sie ein gewünschtes Maß an Wartbarkeit und Sicherheit erreicht.
- Zinsen - der zusätzliche Aufwand, den Entwickler für diese Änderungen aufwenden, um allein die technischen Probleme zu beheben und nicht um neue Funktionen. Jede Minute, die für einen nicht ganz richtigen Code aufgewendet wird, erhöht die Zinsen auf die Schulden.
Irgendwann kann es zu einem „technischen Bankrott“ kommen, wenn die Kosten für neue Funktionen, Bugfixes und Wartung das Projektbudget übersteigen, wodurch der Wert der Softwareanwendung erheblich sinkt.
Eine gewisse Anhäufung von Schulden ist jedoch, genau wie im Leben, normal und in den meisten Fällen etwas zu erwarten.
Idealerweise sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code versenden. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen möglicherweise Funktionen oder Produkte schnell und zu minimalen Kosten an Kunden liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Bereitstellung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was auf dem Bild fehlt, sind die akkumulierten Mängel und potenziellen Sicherheitslücken, die im Code verankert sind. Das macht ihn anfällig für spätere Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure.
Aber da liegt das Rätsel: Gibt es eine andere Möglichkeit, Produkte schnell zu versenden, ohne eine enorme Menge an technischen Schulden anzuhäufen?
Die Kosten für das Auffinden und Beheben von Mängeln und Sicherheitslücken sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kostengünstiger wird die gesamte Bereitstellung sein.
Technische Schulden können sich zu Sicherheitsschulden entwickeln
Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen, und verwenden idealerweise eine bereits geprüfte Lösung. Sie verlassen sich jedoch stark auf Open-Source-Software birgt oft eigene Risiken:
- 82% der Open-Source-Komponenten wurden als veraltet befunden (d. h. ungepatcht oder nicht gut unterstützt)
- 75% der Codebasen enthielten Sicherheitslücken (gegenüber 60% im Jahr 2018), und 49% enthielten Sicherheitslücken mit hohem Risiko
- Pro Codebasis wurden durchschnittlich 82 Sicherheitslücken identifiziert
Dadurch wächst eine Untergruppe der technischen Schulden — die Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Sicherheitslücken in einer Softwareanwendung, die es schwieriger oder sogar unmöglich machen, Daten und Systeme vor Angriffen zu schützen.
Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftriese im Jahr 2017 verletzt weil es versäumt hatte, eine bekannte Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Framework für Webanwendungen, zu beheben. Der Patch war seit Monaten verfügbar, aber die Sicherheitsverletzung gefährdete die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen.
Daher muss sicheren Codierungspraktiken mehr Aufmerksamkeit geschenkt werden, da viele Anwendungen nicht nur aufgrund ihrer technischen Schulden, sondern auch aufgrund der Dichte an Sicherheitslücken und Sicherheitslücken in der Anwendung selbst eine kritische Masse erreicht haben.
Dies kann zu enormen Verlusten führen, die entweder greifbar oder immateriell sein können:
Rufschädigung: Der Verlust des Kundenvertrauens kann sich in der Zukunft äußerst negativ auswirken. Dazu können Schäden an der Marke, Umsatzeinbußen und kostspielige Rechtsprobleme infolge eines Verstoßes gehören.
Auswirkungen auf Vorschriften und Compliance: Wenn eine Sicherheitsverletzung dazu führen kann, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen verpasst. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Bußgeldern führen kann.
Sanierungskosten: Nach einem Ausfall oder Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.
Vermeidung von technischen Schulden und Sicherheitsschulden im SDLC
Viele Unternehmen ändern bereits ihr Budget, um ein stärkeres Sicherheitsniveau zu schaffen. Letztes Jahr Google hat über einen Zeitraum von 5 Jahren 10 Milliarden US-Dollar bereitgestellt um ein Programm zur Stärkung der Cybersicherheit zu finanzieren. Die Biden-Regierung forderte ebenfalls 2,1 Milliarden US-Dollar im Ermessenshaushalt 2022 für die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA).
Die Bereitstellung von mehr Ressourcen und Schulungen, um das berufliche Wachstum und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt zur Festlegung von Qualitätsstandards für den gesamten Code sein, der in die Produktion geliefert wird.
Die Kosten für das Auffinden und Beheben von Sicherheitslücken oder Defekten steigen exponentiell, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen bei so viel Zeit, die für die Behebung von technischen und Sicherheitsschulden aufgewendet wird, ihre eigenen Verluste, indem sie auf Innovationen verzichten und auf Zeit verzichten, die für neue Funktionen oder Produkte aufgewendet wird.
Im Jahr 2022 gab eine Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode der Wahl waren, und es ist keine Überraschung, warum. DevSecOps integriert Sicherheit in jeder Phase des Softwareentwicklungszyklus, um bessere und sicherere Anwendungen bereitzustellen. Sicherheits- und Entwicklungsteams arbeiten weiterhin isoliert und stehen unter Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil der Art und Weise, wie Unternehmen versuchen, Barrieren abzubauen und die Kultur neu zu gestalten. Das grundlegende Ziel von DevSecOps ist es, die Zusammenarbeit zwischen AppSec/Security und Entwicklern von Beginn des Softwareentwicklungszyklus an zu verbessern.
Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss keine monumentale Leistung sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist entscheidend, wenn man versucht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwickler-Community eines Unternehmens zu verbessern. Eine solide Schulung für Entwickler im Bereich sicheres Programmieren stellt sicher, dass das Lernen kontinuierlich, interaktiv, relevant und kontextabhängig ist. Bei einem wirklich ganzheitlichen Ansatz muss berücksichtigt werden, was zur Förderung einer echten, von Entwicklern geleiteten Sicherheitskultur erforderlich ist. Dies erfordert möglicherweise eine Verlagerung des Schwerpunkts von den üblichen Methoden der Verwaltung und des Aufbaus von Entwicklerteams.
Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitsexperten zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen von heute zu bewältigen.
Die Einführung eines ansprechenden und skalierbaren Sicherheitscode-Programms ist aufgrund des langfristigen präventiven Sicherheitsansatzes und nicht des reaktiven Ansatzes der Vergangenheit eine lohnende Investition. Dies trägt letztlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Sicherheitslücken schnell finden und beheben können, und ermöglicht eine agilere Art, sich auf die Produktentwicklung zu konzentrieren und die Markteinführung zu beschleunigen.
Die Kosten für den Umgang mit unsicherem Code und den daraus resultierenden technischen Schulden sind eines der größten Hindernisse, mit denen die Technologie heute konfrontiert ist. Erfahren Sie, wie die Implementierung eines skalierbaren Sicherheitscode-Trainingsprogramms dazu beiträgt, technische Schulden zu reduzieren, indem schlechte Codierungsmuster behoben und Sicherheitslücken früh im Softwareentwicklungszyklus erkannt werden.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Taylor Broadfoot-Nymark ist Produktmarketing-Managerin bei Secure Code Warrior. Sie hat mehrere Artikel über Cybersicherheit und agiles Lernen geschrieben und leitet auch Produkteinführungen, GTM-Strategien und Kundenberatung.
Lass uns über Schulden sprechen
Fast jeder weiß jetzt, dass Cyberkriminalität zu einem wichtigen Problem unserer Weltwirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Vorjahr. Es ist wichtig, die Kosten von unsicherem Code und die damit verbundenen technischen Schulden nicht zu ignorieren. Laut 2022 Konsortium für Informations- und Softwarequalität: Die Kosten schlechter Softwarequalität Berichten zufolge sind die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen US-Dollar gestiegen, und die kumulierten technischen Softwareschulden sind auf 1,52 Billionen US-Dollar gestiegen.
Die steigenden Kosten für den Umgang mit unsicherem Code und die damit verbundenen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden — und machen sie somit anfällig für Ausnutzung und externe Bedrohungen. Der Stand der Softwaresicherheit steckt in einer existenziellen Krise. Wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden abbauen müssen, aber die Hindernisse sind enorm:
- In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen als Softwareentwickler und IT-Bereich, mit einer prognostizierten Wachstumsrate von 15%
- Es wird prognostiziert, dass bis 2025 40% der IT-Budgets einfach für die Aufrechterhaltung der Technologieverschuldung ausgegeben werden
- Durchschnittlich 1/3 der wöchentlichen Arbeitsstunden von Entwicklern werden damit verbracht, technische Schulden zu beheben
Schnelle Lösungen sind riskant — und kosten langfristig mehr
Was sind technische Schulden und warum sind sie so wichtig? Technische Schulden häufen sich an, wenn Entscheidungsträger sich für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden — und nicht für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später zahlen müssen. Ähnlich wie bei einer voll ausgeschöpften Kreditkarte bestehen technische Schulden aus zwei Hauptkomponenten:
- Schulleiter - bezieht sich auf die Gesamtkosten für die Überarbeitung oder Reparatur von Software, sodass sie ein gewünschtes Maß an Wartbarkeit und Sicherheit erreicht.
- Zinsen - der zusätzliche Aufwand, den Entwickler für diese Änderungen aufwenden, um allein die technischen Probleme zu beheben und nicht um neue Funktionen. Jede Minute, die für einen nicht ganz richtigen Code aufgewendet wird, erhöht die Zinsen auf die Schulden.
Irgendwann kann es zu einem „technischen Bankrott“ kommen, wenn die Kosten für neue Funktionen, Bugfixes und Wartung das Projektbudget übersteigen, wodurch der Wert der Softwareanwendung erheblich sinkt.
Eine gewisse Anhäufung von Schulden ist jedoch, genau wie im Leben, normal und in den meisten Fällen etwas zu erwarten.
Idealerweise sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code versenden. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen möglicherweise Funktionen oder Produkte schnell und zu minimalen Kosten an Kunden liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Bereitstellung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was auf dem Bild fehlt, sind die akkumulierten Mängel und potenziellen Sicherheitslücken, die im Code verankert sind. Das macht ihn anfällig für spätere Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure.
Aber da liegt das Rätsel: Gibt es eine andere Möglichkeit, Produkte schnell zu versenden, ohne eine enorme Menge an technischen Schulden anzuhäufen?
Die Kosten für das Auffinden und Beheben von Mängeln und Sicherheitslücken sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kostengünstiger wird die gesamte Bereitstellung sein.
Technische Schulden können sich zu Sicherheitsschulden entwickeln
Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen, und verwenden idealerweise eine bereits geprüfte Lösung. Sie verlassen sich jedoch stark auf Open-Source-Software birgt oft eigene Risiken:
- 82% der Open-Source-Komponenten wurden als veraltet befunden (d. h. ungepatcht oder nicht gut unterstützt)
- 75% der Codebasen enthielten Sicherheitslücken (gegenüber 60% im Jahr 2018), und 49% enthielten Sicherheitslücken mit hohem Risiko
- Pro Codebasis wurden durchschnittlich 82 Sicherheitslücken identifiziert
Dadurch wächst eine Untergruppe der technischen Schulden — die Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Sicherheitslücken in einer Softwareanwendung, die es schwieriger oder sogar unmöglich machen, Daten und Systeme vor Angriffen zu schützen.
Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftriese im Jahr 2017 verletzt weil es versäumt hatte, eine bekannte Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Framework für Webanwendungen, zu beheben. Der Patch war seit Monaten verfügbar, aber die Sicherheitsverletzung gefährdete die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen.
Daher muss sicheren Codierungspraktiken mehr Aufmerksamkeit geschenkt werden, da viele Anwendungen nicht nur aufgrund ihrer technischen Schulden, sondern auch aufgrund der Dichte an Sicherheitslücken und Sicherheitslücken in der Anwendung selbst eine kritische Masse erreicht haben.
Dies kann zu enormen Verlusten führen, die entweder greifbar oder immateriell sein können:
Rufschädigung: Der Verlust des Kundenvertrauens kann sich in der Zukunft äußerst negativ auswirken. Dazu können Schäden an der Marke, Umsatzeinbußen und kostspielige Rechtsprobleme infolge eines Verstoßes gehören.
Auswirkungen auf Vorschriften und Compliance: Wenn eine Sicherheitsverletzung dazu führen kann, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen verpasst. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Bußgeldern führen kann.
Sanierungskosten: Nach einem Ausfall oder Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.
Vermeidung von technischen Schulden und Sicherheitsschulden im SDLC
Viele Unternehmen ändern bereits ihr Budget, um ein stärkeres Sicherheitsniveau zu schaffen. Letztes Jahr Google hat über einen Zeitraum von 5 Jahren 10 Milliarden US-Dollar bereitgestellt um ein Programm zur Stärkung der Cybersicherheit zu finanzieren. Die Biden-Regierung forderte ebenfalls 2,1 Milliarden US-Dollar im Ermessenshaushalt 2022 für die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA).
Die Bereitstellung von mehr Ressourcen und Schulungen, um das berufliche Wachstum und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt zur Festlegung von Qualitätsstandards für den gesamten Code sein, der in die Produktion geliefert wird.
Die Kosten für das Auffinden und Beheben von Sicherheitslücken oder Defekten steigen exponentiell, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen bei so viel Zeit, die für die Behebung von technischen und Sicherheitsschulden aufgewendet wird, ihre eigenen Verluste, indem sie auf Innovationen verzichten und auf Zeit verzichten, die für neue Funktionen oder Produkte aufgewendet wird.
Im Jahr 2022 gab eine Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode der Wahl waren, und es ist keine Überraschung, warum. DevSecOps integriert Sicherheit in jeder Phase des Softwareentwicklungszyklus, um bessere und sicherere Anwendungen bereitzustellen. Sicherheits- und Entwicklungsteams arbeiten weiterhin isoliert und stehen unter Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil der Art und Weise, wie Unternehmen versuchen, Barrieren abzubauen und die Kultur neu zu gestalten. Das grundlegende Ziel von DevSecOps ist es, die Zusammenarbeit zwischen AppSec/Security und Entwicklern von Beginn des Softwareentwicklungszyklus an zu verbessern.
Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss keine monumentale Leistung sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist entscheidend, wenn man versucht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwickler-Community eines Unternehmens zu verbessern. Eine solide Schulung für Entwickler im Bereich sicheres Programmieren stellt sicher, dass das Lernen kontinuierlich, interaktiv, relevant und kontextabhängig ist. Bei einem wirklich ganzheitlichen Ansatz muss berücksichtigt werden, was zur Förderung einer echten, von Entwicklern geleiteten Sicherheitskultur erforderlich ist. Dies erfordert möglicherweise eine Verlagerung des Schwerpunkts von den üblichen Methoden der Verwaltung und des Aufbaus von Entwicklerteams.
Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitsexperten zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen von heute zu bewältigen.
Die Einführung eines ansprechenden und skalierbaren Sicherheitscode-Programms ist aufgrund des langfristigen präventiven Sicherheitsansatzes und nicht des reaktiven Ansatzes der Vergangenheit eine lohnende Investition. Dies trägt letztlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Sicherheitslücken schnell finden und beheben können, und ermöglicht eine agilere Art, sich auf die Produktentwicklung zu konzentrieren und die Markteinführung zu beschleunigen.
Lass uns über Schulden sprechen
Fast jeder weiß jetzt, dass Cyberkriminalität zu einem wichtigen Problem unserer Weltwirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Vorjahr. Es ist wichtig, die Kosten von unsicherem Code und die damit verbundenen technischen Schulden nicht zu ignorieren. Laut 2022 Konsortium für Informations- und Softwarequalität: Die Kosten schlechter Softwarequalität Berichten zufolge sind die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen US-Dollar gestiegen, und die kumulierten technischen Softwareschulden sind auf 1,52 Billionen US-Dollar gestiegen.
Die steigenden Kosten für den Umgang mit unsicherem Code und die damit verbundenen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden — und machen sie somit anfällig für Ausnutzung und externe Bedrohungen. Der Stand der Softwaresicherheit steckt in einer existenziellen Krise. Wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden abbauen müssen, aber die Hindernisse sind enorm:
- In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen als Softwareentwickler und IT-Bereich, mit einer prognostizierten Wachstumsrate von 15%
- Es wird prognostiziert, dass bis 2025 40% der IT-Budgets einfach für die Aufrechterhaltung der Technologieverschuldung ausgegeben werden
- Durchschnittlich 1/3 der wöchentlichen Arbeitsstunden von Entwicklern werden damit verbracht, technische Schulden zu beheben
Schnelle Lösungen sind riskant — und kosten langfristig mehr
Was sind technische Schulden und warum sind sie so wichtig? Technische Schulden häufen sich an, wenn Entscheidungsträger sich für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden — und nicht für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später zahlen müssen. Ähnlich wie bei einer voll ausgeschöpften Kreditkarte bestehen technische Schulden aus zwei Hauptkomponenten:
- Schulleiter - bezieht sich auf die Gesamtkosten für die Überarbeitung oder Reparatur von Software, sodass sie ein gewünschtes Maß an Wartbarkeit und Sicherheit erreicht.
- Zinsen - der zusätzliche Aufwand, den Entwickler für diese Änderungen aufwenden, um allein die technischen Probleme zu beheben und nicht um neue Funktionen. Jede Minute, die für einen nicht ganz richtigen Code aufgewendet wird, erhöht die Zinsen auf die Schulden.
Irgendwann kann es zu einem „technischen Bankrott“ kommen, wenn die Kosten für neue Funktionen, Bugfixes und Wartung das Projektbudget übersteigen, wodurch der Wert der Softwareanwendung erheblich sinkt.
Eine gewisse Anhäufung von Schulden ist jedoch, genau wie im Leben, normal und in den meisten Fällen etwas zu erwarten.
Idealerweise sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code versenden. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen möglicherweise Funktionen oder Produkte schnell und zu minimalen Kosten an Kunden liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Bereitstellung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was auf dem Bild fehlt, sind die akkumulierten Mängel und potenziellen Sicherheitslücken, die im Code verankert sind. Das macht ihn anfällig für spätere Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure.
Aber da liegt das Rätsel: Gibt es eine andere Möglichkeit, Produkte schnell zu versenden, ohne eine enorme Menge an technischen Schulden anzuhäufen?
Die Kosten für das Auffinden und Beheben von Mängeln und Sicherheitslücken sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kostengünstiger wird die gesamte Bereitstellung sein.
Technische Schulden können sich zu Sicherheitsschulden entwickeln
Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen, und verwenden idealerweise eine bereits geprüfte Lösung. Sie verlassen sich jedoch stark auf Open-Source-Software birgt oft eigene Risiken:
- 82% der Open-Source-Komponenten wurden als veraltet befunden (d. h. ungepatcht oder nicht gut unterstützt)
- 75% der Codebasen enthielten Sicherheitslücken (gegenüber 60% im Jahr 2018), und 49% enthielten Sicherheitslücken mit hohem Risiko
- Pro Codebasis wurden durchschnittlich 82 Sicherheitslücken identifiziert
Dadurch wächst eine Untergruppe der technischen Schulden — die Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Sicherheitslücken in einer Softwareanwendung, die es schwieriger oder sogar unmöglich machen, Daten und Systeme vor Angriffen zu schützen.
Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftriese im Jahr 2017 verletzt weil es versäumt hatte, eine bekannte Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Framework für Webanwendungen, zu beheben. Der Patch war seit Monaten verfügbar, aber die Sicherheitsverletzung gefährdete die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen.
Daher muss sicheren Codierungspraktiken mehr Aufmerksamkeit geschenkt werden, da viele Anwendungen nicht nur aufgrund ihrer technischen Schulden, sondern auch aufgrund der Dichte an Sicherheitslücken und Sicherheitslücken in der Anwendung selbst eine kritische Masse erreicht haben.
Dies kann zu enormen Verlusten führen, die entweder greifbar oder immateriell sein können:
Rufschädigung: Der Verlust des Kundenvertrauens kann sich in der Zukunft äußerst negativ auswirken. Dazu können Schäden an der Marke, Umsatzeinbußen und kostspielige Rechtsprobleme infolge eines Verstoßes gehören.
Auswirkungen auf Vorschriften und Compliance: Wenn eine Sicherheitsverletzung dazu führen kann, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen verpasst. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Bußgeldern führen kann.
Sanierungskosten: Nach einem Ausfall oder Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.
Vermeidung von technischen Schulden und Sicherheitsschulden im SDLC
Viele Unternehmen ändern bereits ihr Budget, um ein stärkeres Sicherheitsniveau zu schaffen. Letztes Jahr Google hat über einen Zeitraum von 5 Jahren 10 Milliarden US-Dollar bereitgestellt um ein Programm zur Stärkung der Cybersicherheit zu finanzieren. Die Biden-Regierung forderte ebenfalls 2,1 Milliarden US-Dollar im Ermessenshaushalt 2022 für die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA).
Die Bereitstellung von mehr Ressourcen und Schulungen, um das berufliche Wachstum und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt zur Festlegung von Qualitätsstandards für den gesamten Code sein, der in die Produktion geliefert wird.
Die Kosten für das Auffinden und Beheben von Sicherheitslücken oder Defekten steigen exponentiell, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen bei so viel Zeit, die für die Behebung von technischen und Sicherheitsschulden aufgewendet wird, ihre eigenen Verluste, indem sie auf Innovationen verzichten und auf Zeit verzichten, die für neue Funktionen oder Produkte aufgewendet wird.
Im Jahr 2022 gab eine Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode der Wahl waren, und es ist keine Überraschung, warum. DevSecOps integriert Sicherheit in jeder Phase des Softwareentwicklungszyklus, um bessere und sicherere Anwendungen bereitzustellen. Sicherheits- und Entwicklungsteams arbeiten weiterhin isoliert und stehen unter Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil der Art und Weise, wie Unternehmen versuchen, Barrieren abzubauen und die Kultur neu zu gestalten. Das grundlegende Ziel von DevSecOps ist es, die Zusammenarbeit zwischen AppSec/Security und Entwicklern von Beginn des Softwareentwicklungszyklus an zu verbessern.
Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss keine monumentale Leistung sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist entscheidend, wenn man versucht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwickler-Community eines Unternehmens zu verbessern. Eine solide Schulung für Entwickler im Bereich sicheres Programmieren stellt sicher, dass das Lernen kontinuierlich, interaktiv, relevant und kontextabhängig ist. Bei einem wirklich ganzheitlichen Ansatz muss berücksichtigt werden, was zur Förderung einer echten, von Entwicklern geleiteten Sicherheitskultur erforderlich ist. Dies erfordert möglicherweise eine Verlagerung des Schwerpunkts von den üblichen Methoden der Verwaltung und des Aufbaus von Entwicklerteams.
Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitsexperten zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen von heute zu bewältigen.
Die Einführung eines ansprechenden und skalierbaren Sicherheitscode-Programms ist aufgrund des langfristigen präventiven Sicherheitsansatzes und nicht des reaktiven Ansatzes der Vergangenheit eine lohnende Investition. Dies trägt letztlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Sicherheitslücken schnell finden und beheben können, und ermöglicht eine agilere Art, sich auf die Produktentwicklung zu konzentrieren und die Markteinführung zu beschleunigen.
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTaylor Broadfoot-Nymark ist Produktmarketing-Managerin bei Secure Code Warrior. Sie hat mehrere Artikel über Cybersicherheit und agiles Lernen geschrieben und leitet auch Produkteinführungen, GTM-Strategien und Kundenberatung.
Lass uns über Schulden sprechen
Fast jeder weiß jetzt, dass Cyberkriminalität zu einem wichtigen Problem unserer Weltwirtschaft geworden ist. Im Jahr 2022 beliefen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den Vereinigten Staaten auf 9,44 Millionen US-Dollar, gegenüber 9,05 Millionen US-Dollar im Vorjahr. Es ist wichtig, die Kosten von unsicherem Code und die damit verbundenen technischen Schulden nicht zu ignorieren. Laut 2022 Konsortium für Informations- und Softwarequalität: Die Kosten schlechter Softwarequalität Berichten zufolge sind die Kosten für schlechte Softwarequalität in den USA auf 2,41 Billionen US-Dollar gestiegen, und die kumulierten technischen Softwareschulden sind auf 1,52 Billionen US-Dollar gestiegen.
Die steigenden Kosten für den Umgang mit unsicherem Code und die damit verbundenen technischen Schulden sind zum größten Hindernis für Änderungen an bestehenden Codebasen geworden — und machen sie somit anfällig für Ausnutzung und externe Bedrohungen. Der Stand der Softwaresicherheit steckt in einer existenziellen Krise. Wir wissen, dass wir unsere Sicherheitslage verbessern und die angehäuften technischen Schulden abbauen müssen, aber die Hindernisse sind enorm:
- In den USA gibt es schätzungsweise 300.000 unbesetzte Stellen als Softwareentwickler und IT-Bereich, mit einer prognostizierten Wachstumsrate von 15%
- Es wird prognostiziert, dass bis 2025 40% der IT-Budgets einfach für die Aufrechterhaltung der Technologieverschuldung ausgegeben werden
- Durchschnittlich 1/3 der wöchentlichen Arbeitsstunden von Entwicklern werden damit verbracht, technische Schulden zu beheben
Schnelle Lösungen sind riskant — und kosten langfristig mehr
Was sind technische Schulden und warum sind sie so wichtig? Technische Schulden häufen sich an, wenn Entscheidungsträger sich für eine kurzfristige Lösung eines Softwareentwicklungsproblems entscheiden — und nicht für eine umfassendere, langfristige Lösung. Dies ist mit erheblichen versteckten Kosten verbunden, die Unternehmen später zahlen müssen. Ähnlich wie bei einer voll ausgeschöpften Kreditkarte bestehen technische Schulden aus zwei Hauptkomponenten:
- Schulleiter - bezieht sich auf die Gesamtkosten für die Überarbeitung oder Reparatur von Software, sodass sie ein gewünschtes Maß an Wartbarkeit und Sicherheit erreicht.
- Zinsen - der zusätzliche Aufwand, den Entwickler für diese Änderungen aufwenden, um allein die technischen Probleme zu beheben und nicht um neue Funktionen. Jede Minute, die für einen nicht ganz richtigen Code aufgewendet wird, erhöht die Zinsen auf die Schulden.
Irgendwann kann es zu einem „technischen Bankrott“ kommen, wenn die Kosten für neue Funktionen, Bugfixes und Wartung das Projektbudget übersteigen, wodurch der Wert der Softwareanwendung erheblich sinkt.
Eine gewisse Anhäufung von Schulden ist jedoch, genau wie im Leben, normal und in den meisten Fällen etwas zu erwarten.
Idealerweise sollten alle Softwareentwickler Fehler so weit wie möglich reduzieren, bevor sie den Code versenden. Sie stehen jedoch vor einem schwierigen Kompromiss: Um wettbewerbsfähig zu sein, möchte ein Unternehmen möglicherweise Funktionen oder Produkte schnell und zu minimalen Kosten an Kunden liefern. Infolgedessen leidet die Qualität der Anwendung, da die KPIs der Entwickler auf der Geschwindigkeit der Bereitstellung und den anfänglichen Kosten für die Erstellung der Anwendung basieren. Was auf dem Bild fehlt, sind die akkumulierten Mängel und potenziellen Sicherheitslücken, die im Code verankert sind. Das macht ihn anfällig für spätere Bugs oder Sicherheitslücken oder, schlimmer noch, für die Ausnutzung durch böswillige Akteure.
Aber da liegt das Rätsel: Gibt es eine andere Möglichkeit, Produkte schnell zu versenden, ohne eine enorme Menge an technischen Schulden anzuhäufen?
Die Kosten für das Auffinden und Beheben von Mängeln und Sicherheitslücken sind die größten Einzelkosten im Lebenszyklus der Softwareentwicklung. Je früher im Entwicklungszyklus Probleme gefunden werden, desto kostengünstiger wird die gesamte Bereitstellung sein.
Technische Schulden können sich zu Sicherheitsschulden entwickeln
Viele Entwickler versuchen, diesen Kompromiss zu umgehen, indem sie Open-Source-Code verwenden, um schnell voranzukommen, und verwenden idealerweise eine bereits geprüfte Lösung. Sie verlassen sich jedoch stark auf Open-Source-Software birgt oft eigene Risiken:
- 82% der Open-Source-Komponenten wurden als veraltet befunden (d. h. ungepatcht oder nicht gut unterstützt)
- 75% der Codebasen enthielten Sicherheitslücken (gegenüber 60% im Jahr 2018), und 49% enthielten Sicherheitslücken mit hohem Risiko
- Pro Codebasis wurden durchschnittlich 82 Sicherheitslücken identifiziert
Dadurch wächst eine Untergruppe der technischen Schulden — die Sicherheitsschulden. Sicherheitsschulden sind die Anhäufung von Sicherheitslücken in einer Softwareanwendung, die es schwieriger oder sogar unmöglich machen, Daten und Systeme vor Angriffen zu schützen.
Eines der berüchtigtsten Beispiele ist Equifax, der Kreditauskunftriese im Jahr 2017 verletzt weil es versäumt hatte, eine bekannte Sicherheitslücke in Apache Struts, einem beliebten Open-Source-Framework für Webanwendungen, zu beheben. Der Patch war seit Monaten verfügbar, aber die Sicherheitsverletzung gefährdete die wichtigen persönlichen Daten von mehr als 147 Millionen Menschen.
Daher muss sicheren Codierungspraktiken mehr Aufmerksamkeit geschenkt werden, da viele Anwendungen nicht nur aufgrund ihrer technischen Schulden, sondern auch aufgrund der Dichte an Sicherheitslücken und Sicherheitslücken in der Anwendung selbst eine kritische Masse erreicht haben.
Dies kann zu enormen Verlusten führen, die entweder greifbar oder immateriell sein können:
Rufschädigung: Der Verlust des Kundenvertrauens kann sich in der Zukunft äußerst negativ auswirken. Dazu können Schäden an der Marke, Umsatzeinbußen und kostspielige Rechtsprobleme infolge eines Verstoßes gehören.
Auswirkungen auf Vorschriften und Compliance: Wenn eine Sicherheitsverletzung dazu führen kann, dass ein Unternehmen eine Frist und/oder vertragliche Verpflichtungen verpasst. Die Nichteinhaltung eines SLA kann ein Unternehmen in Schwierigkeiten mit den Aufsichtsbehörden bringen, was zu erheblichen Bußgeldern führen kann.
Sanierungskosten: Nach einem Ausfall oder Ausfall ist häufig zusätzliche Arbeit erforderlich, um den Produktivitätsverlust auszugleichen.
Vermeidung von technischen Schulden und Sicherheitsschulden im SDLC
Viele Unternehmen ändern bereits ihr Budget, um ein stärkeres Sicherheitsniveau zu schaffen. Letztes Jahr Google hat über einen Zeitraum von 5 Jahren 10 Milliarden US-Dollar bereitgestellt um ein Programm zur Stärkung der Cybersicherheit zu finanzieren. Die Biden-Regierung forderte ebenfalls 2,1 Milliarden US-Dollar im Ermessenshaushalt 2022 für die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA).
Die Bereitstellung von mehr Ressourcen und Schulungen, um das berufliche Wachstum und das Wissen Ihrer Entwickler zu fördern, kann der erste Schritt zur Festlegung von Qualitätsstandards für den gesamten Code sein, der in die Produktion geliefert wird.
Die Kosten für das Auffinden und Beheben von Sicherheitslücken oder Defekten steigen exponentiell, je später im Softwareentwicklungszyklus sie gefunden und behoben werden. Und wie wir gesehen haben, verursachen Unternehmen bei so viel Zeit, die für die Behebung von technischen und Sicherheitsschulden aufgewendet wird, ihre eigenen Verluste, indem sie auf Innovationen verzichten und auf Zeit verzichten, die für neue Funktionen oder Produkte aufgewendet wird.
Im Jahr 2022 gab eine Mehrheit der Entwicklerteams an, dass DevOps oder DevSecOps die Methode der Wahl waren, und es ist keine Überraschung, warum. DevSecOps integriert Sicherheit in jeder Phase des Softwareentwicklungszyklus, um bessere und sicherere Anwendungen bereitzustellen. Sicherheits- und Entwicklungsteams arbeiten weiterhin isoliert und stehen unter Spannungen, aber es ist klar, dass sich dies ändern muss, um Unternehmen zum Erfolg zu verhelfen. DevOps ist Teil der Art und Weise, wie Unternehmen versuchen, Barrieren abzubauen und die Kultur neu zu gestalten. Das grundlegende Ziel von DevSecOps ist es, die Zusammenarbeit zwischen AppSec/Security und Entwicklern von Beginn des Softwareentwicklungszyklus an zu verbessern.
Die Einführung einer neuen Denkweise im Umgang mit technischen Schulden und Sicherheit muss keine monumentale Leistung sein. Die Etablierung einer proaktiven Denkweise durch Schulungen ist entscheidend, wenn man versucht, das Sicherheitsbewusstsein und die Fähigkeiten der Entwickler-Community eines Unternehmens zu verbessern. Eine solide Schulung für Entwickler im Bereich sicheres Programmieren stellt sicher, dass das Lernen kontinuierlich, interaktiv, relevant und kontextabhängig ist. Bei einem wirklich ganzheitlichen Ansatz muss berücksichtigt werden, was zur Förderung einer echten, von Entwicklern geleiteten Sicherheitskultur erforderlich ist. Dies erfordert möglicherweise eine Verlagerung des Schwerpunkts von den üblichen Methoden der Verwaltung und des Aufbaus von Entwicklerteams.
Es ist nicht einfach, einen Kulturwandel herbeizuführen, aber Secure Code Warrior hilft Ihnen dabei, Ihre Sicherheitsexperten zu identifizieren und Entwickler und Unternehmen mit den richtigen Fähigkeiten auszustatten, um die sich ständig ändernden Sicherheitsherausforderungen von heute zu bewältigen.
Die Einführung eines ansprechenden und skalierbaren Sicherheitscode-Programms ist aufgrund des langfristigen präventiven Sicherheitsansatzes und nicht des reaktiven Ansatzes der Vergangenheit eine lohnende Investition. Dies trägt letztlich dazu bei, die kostspieligen Risiken einer Sicherheitsverletzung zu mindern, Entwickler darin zu schulen, wie sie Sicherheitslücken schnell finden und beheben können, und ermöglicht eine agilere Art, sich auf die Produktentwicklung zu konzentrieren und die Markteinführung zu beschleunigen.
Table des matières
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
