Aperçu des codes sécurisés

Um Ihre Software proaktiv zu schützen, müssen Sie stets auf dem neuesten Stand der Standards und Compliance-Anforderungen sein. Schließlich ist die Cybersicherheitslandschaft ständig in Bewegung mit neuen Bedrohungen und Sicherheitslücken, insbesondere angesichts des Auftretens neuer Technologien. Nie war dies wahrer als heute, wo wir uns gemeinsam an einem Wendepunkt der KI befinden, an dem täglich neue Entwicklungen und Anwendungsfälle auftauchen.

Um diesen Herausforderungen zu begegnen, veröffentlichte die OWASP Foundation kürzlich ihre aktualisierte Version der OWASP Top 10 für Large Language Model (LLM) -Anwendungen, das Entwickler, Architekten und andere an der Softwarebereitstellung beteiligte Personen über die potenziellen Risiken beim Einsatz von LLMs und generativen KI-Anwendungen informieren soll. Und wir bei Secure Code Warrior freuen uns, Ihnen mitteilen zu können, dass die Änderungen und Updates in dieser neuesten Version bereits implementiert und auf unserer sicheren Code-Lernplattform verfügbar sind. Mit diesen neu verfügbaren und aktualisierten Materialien können alle unsere Benutzer bei der Verwendung von LLMs an der Spitze der Risikominderung bleiben.

Was ist neu in diesem Update?

OWASP hat zwei Artikel aus seinen vorherigen Top 10 entfernt:

• Unsicheres Plugin-Design - was sich darauf bezieht, wie LLMs mit Plugins interagieren und wie Plugins mit externen Speichern oder Diensten interagieren.
• Modelldiebstahl - bezieht sich auf die unbefugte Replikation oder den Erwerb von Modellen für maschinelles Lernen oder KI-Systemen.

Gemäß früheren Versionen der OWASP Top 10 hatte Secure Code Warrior Richtlinien im Rahmen unseres LLM-Top-10-Kurses mit diesen Sicherheitslücken verbunden. Diese Richtlinien, die leicht verständliche Informationen zu Sicherheitslücken und Sicherheitskonzepten in einem leicht verständlichen, lesbaren Format enthalten, wurden inzwischen aus dem Lehrplan entfernt. Die Richtlinien bleiben jedoch zusammen mit allen anderen Lernmaterialien, die wir anbieten, in Explore verfügbar.

OWASP hat seine Top 10 auf den offiziellen 10 Punkten belassen und zwei neue Artikel hinzugefügt:

• Leckage bei der Systemaufforderung - wo normalerweise versteckte Eingabeaufforderungen, die das Verhalten eines Modells steuern, den Benutzern zugänglich gemacht werden.
• Vektor und Einbettung - wodurch spezifische, proprietäre oder Echtzeitinformationen preisgegeben werden können, die nicht öffentlich verfügbar sind

Richtlinien für diese Sicherheitslücken wurden dem LLM-Top-10-Kurs hinzugefügt, und genau wie die Richtlinien, die entfernt wurden, sind auch diese beiden in Explore für Benutzer zugänglich, die die Vorteile des Lernens im eigenen Tempo nutzen möchten.

Schließlich hat OWASP auch einige Änderungen an bestehenden Schwachstellenkategorien in seiner Liste vorgenommen, indem einige Kategorien in umfassendere oder spezifischere Kategorien umbenannt und Änderungen an ihren Definitionen vorgenommen wurden. Unsere Richtlinien zu diesen Themen wurden nun aktualisiert, um sowohl den geringfügigen Änderungen der OWASP-Richtlinien als auch den neuen Namenskonventionen Rechnung zu tragen. Darüber hinaus wurde ihre Liste in der Reihenfolge ihrer Priorität aktualisiert, sodass sie der in den OWASP LLM Top 10 festgelegten Reihenfolge entspricht.

Bei Secure Code Warrior setzen wir uns dafür ein, unseren Benutzern zu helfen, der Konkurrenz immer einen Schritt voraus zu sein. Da sich die neuesten OWASP-Updates bereits in unserer agilen Lernplattform widerspiegeln, haben wir es unseren Benutzern leicht gemacht, auf aktuelle Schulungsmaterialien zuzugreifen, die die aktuellsten Sicherheitslücken behandeln und Risiken beim Einsatz von LLM- und generativen KI-Technologien minimieren. Ganz gleich, ob Sie sich mit den neu eingeführten Bedrohungen wie System Prompt Leakage oder Vector and Embedding auseinandersetzen oder Ihr Verständnis von Fehlinformationen und unbegrenzter Nutzung aktualisieren möchten, unsere Plattform bietet die Ressourcen, die Sie benötigen, um diese kritischen Konzepte zu beherrschen und Ihre Sicherheitslage zu verbessern.

Wussten Sie, dass 67% der Entwickler zugeben, Code mit Sicherheitslücken ausgeliefert zu haben? Stellen Sie sich ein Team von Bauarbeitern vor, das mit dem Bau eines Hauses beauftragt ist. Sie haben alle Materialien und Werkzeuge, die sie benötigen, aber sie haben Mühe, die Baupläne und Bauvorschriften einzuhalten. Infolgedessen machen sie Fehler und das Haus wird nicht nach den Vorschriften gebaut.

Diese Analogie kann verwendet werden, um die Herausforderungen zu veranschaulichen, mit denen Entwickler konfrontiert sind, wenn sie versuchen, sicheres Programmieren zu üben. So wie Bauarbeiter Baupläne und Bauvorschriften befolgen müssen, um sicherzustellen, dass ihre Häuser sicher sind, müssen Entwickler sichere Codierungspraktiken befolgen, um sicherzustellen, dass ihre Softwareanwendungen sicher sind.

Es gibt eine Reihe von Gründen, warum sichere Codierung eine Herausforderung sein kann. Dazu gehören:

• Mangelndes Bewusstsein für sichere Codierungspraktiken. 86% der Entwickler geben an, dass sie es schwierig finden, sicheres Programmieren zu üben.‍
• Ein Mangel an Zeit und Ressourcen. 24% der Befragten in unserer Umfrage gaben an, dass „nicht genug Zeit“ das größte Hindernis für die Integration von sicherem Code ist.‍
• Die Komplexität der sicheren Codierung. 63% der Entwickler bewerten das Schreiben von sicherem Code, der frei von Sicherheitslücken ist, als schwierig.‍
• Übermäßiges Vertrauen in Tools. 57% der Teams für Anwendungssicherheit verwenden sechs oder mehr Tools, um Sicherheitslücken während des DevSecOps-Lebenszyklus zu entdecken. (GitLab, 2023)

Trotz der Herausforderungen ist eine sichere Codierung unerlässlich. Durch die Einhaltung sicherer Codierungspraktiken können Entwickler dazu beitragen, ihre Anwendungen vor Sicherheitslücken zu schützen, die von Angreifern ausgenutzt werden können. So wie es bei einem gut gebauten Haus weniger wahrscheinlich ist, dass es zusammenbricht, ist es weniger wahrscheinlich, dass eine gut programmierte Anwendung gehackt wird.

Hier sind ein paar Tipps für Entwickler, die ihre sicheren Codierungspraktiken verbessern möchten:

• Holen Sie sich Schulungen und Weiterbildungen zum Thema sichere Codierung. Es gibt eine Reihe von Ressourcen, die Entwicklern helfen, sich mit sicheren Codierungsmethoden vertraut zu machen.
• Verwenden Sie statische Analysetools, um Sicherheitslücken im Code zu identifizieren. Statische Analysetools können dabei helfen, Sicherheitslücken im Code zu identifizieren, die manuell schwer zu finden sind.
• Schreiben Sie Code, der leicht zu überprüfen und zu verstehen ist. Code, der leicht zu überprüfen und zu verstehen ist, ist mit größerer Wahrscheinlichkeit sicherer Code.
• Testen Sie den Code gründlich. Das Testen von Code kann dazu beitragen, Sicherheitslücken zu identifizieren und zu beheben, bevor sie ausgenutzt werden.

Interessiert daran, mehr zu erfahren? Enthüllen Sie die Geheimnisse der Entwicklung einer agilen, sicheren Codierungsstrategie mit unserer Blaupause für sicheres Codelernen.

‍

‍

‍

‍

Eine Version dieses Artikels erschien auf Sicherheits-Boulevard. Es wurde hier aktualisiert und syndiziert.

Anfang dieses Jahres veröffentlichte der PCI Security Standards Council Version 4.0 seines Payment Card Industry Data Security Standards (PCI DSS). Zwar müssen Unternehmen erst im März 2025 die Anforderungen von 4.0 vollständig erfüllen, doch dieses Update ist das bisher umfassendste Update, das die meisten Unternehmen dazu zwingt, komplexe Sicherheitsprozesse und Elemente ihres Tech-Stacks zu überprüfen (und wahrscheinlich zu aktualisieren). Dies gilt zusätzlich zur Implementierung von rollenbasierten Schulungen zum Sicherheitsbewusstsein und regelmäßigen Schulungen zur sicheren Programmierung für Entwickler.

Dies ist eine einmalige Gelegenheit für Unternehmen im BFSI-Bereich, ihre Sicherheitsprogramme ernsthaft zu verbessern und eine neue Ära der menschengesteuerten Cyberresistenz einzuläuten.

Was sind die größten Herausforderungen bei der Vorbereitung auf PCI DSS 4.0?

So wie das Sicherheitsprogramm eines Unternehmens allumfassend ist und Feinheiten aufweist, die speziell auf die Geschäftsanforderungen und verfügbaren Ressourcen zugeschnitten sind, decken die neuen PCI-DSS-Standards viele Bereiche ab. Sie lassen jedoch eine deutliche Verschiebung hin zu mehr Flexibilität bei den Ansätzen zur Erfüllung von Sicherheitsanforderungen erkennen, und in einer Branche, in der sich Tools, Bedrohungen, Strategien und Compliance-Maßnahmen augenblicklich ändern können, ist dies von großer Bedeutung.

PCI DSS 4.0 basiert auf dem Konzept, dass es viele Möglichkeiten gibt, das gleiche Ziel von Best Practices für luftdichte Sicherheit zu erreichen. Das stimmt, aber es scheint am besten für Organisationen mit fortgeschrittenem Sicherheitsniveau geeignet zu sein und lässt viel Spielraum für Fehler, insbesondere für diejenigen, die ihren wahren Reifegrad im Bereich der internen Sicherheit nicht realistisch eingeschätzt haben. Letztlich müssen Unternehmen darauf vorbereitet sein, Sicherheit als kontinuierlichen, sich weiterentwickelnden Prozess zu betrachten und nicht als einmaliges „Einstellen und Vergessen“. Eine starke Sicherheitskultur mit einem unternehmensweiten Engagement für Sicherheitsbewusstsein ist ein Muss.

Und diejenigen, die mit den Tools auf Codeebene arbeiten — die Entwicklungskohorte — müssen in der Lage sein, konforme, sichere Software in jeder Geschäftsumgebung bereitzustellen, in der digitale Vermögenswerte und Transaktionen verarbeitet werden.

Vos développeurs sont-ils en mesure de fournir des logiciels conformes ?

Entwickler sind ein integraler Bestandteil, wenn es darum geht, einen Stand der Softwaresicherheit zu erreichen, und dies ist besonders relevant für mehr als nur die PCI-DSS-Konformität mit Tokens. Es ist von entscheidender Bedeutung, dass Entwickler das Gesamtbild von PCI DSS 4.0 verstehen und wissen, was sie kontrollieren können, und dass dies als Teil ihres Standardansatzes für die Softwareentwicklung integriert werden kann.

Drei Schlüsselbereiche stellen die wichtigsten Änderungen für das Entwicklungsteam dar und lassen sich wie folgt unterteilen:

• Authentifizierung: Ein praktikabler Plan für die Zugriffskontrolle war schon immer ein wichtiger Bestandteil der PCI-Konformität. Version 4.0 verbessert dies jedoch so, dass eine sorgfältige interne und externe Implementierung erforderlich ist. Die Multi-Factor Authentication (MFA) wird zum Standard werden, ebenso wie verstärkte Regeln in Bezug auf die Komplexität von Passwörtern und Timeouts.
  
  Da Sicherheitsprobleme bei der Authentifizierung und Zugriffskontrolle heute die häufigsten sind, mit denen ein durchschnittlicher Entwickler konfrontiert ist, ist es unerlässlich, dass eine präzise Schulung durchgeführt wird, um ihnen zu helfen, diese Probleme im tatsächlichen Code zu identifizieren und zu beheben.
  
  
• Verschlüsselung und Schlüsselverwaltung: Wir arbeiten in einer Welt, in der wir über mehrere Zugangspunkte, wie z. B. unser Online-Banking, auf einige unserer sensibelsten Informationen zugreifen können. Da diese wertvollen Daten gefährdet sind, sind Verschlüsselung und strenge Kryptografiepraktiken ein Muss. Entwickler müssen sicherstellen, dass sie über aktuelle Kenntnisse darüber verfügen, wo Informationen übertragen werden, wie Benutzer darauf zugreifen können und selbst für den Fall, dass sie in die falschen Hände geraten, sicherstellen, dass sie für Bedrohungsakteure nicht lesbar sind.
  
  
• Bösartige Software: In den vorherigen Richtlinien wurden Sicherheitskontrollen rund um den Softwareschutz vor bösartigem Code als „Antivirensoftware“ bezeichnet, aber das vereinfacht den eigentlich vielschichtigen Ansatz, der weit mehr als Viren allein abschirmt, zu sehr. Anti-Malware-Lösungen müssen überall dort eingesetzt werden, wo dies erforderlich ist, und eine kontinuierliche Protokollierung und Überwachung sind Pflicht.
  
  Es ist auch wichtig, dass Entwickler über Lernpfade verfügen, die die Identifizierung anfälliger Komponenten umfassen, insbesondere da die meisten Codebasen zumindest teilweise auf Code von Drittanbietern basieren.

Was ist eine „ausreichende“ Schulung für Entwickler?

Ähnlich wie in früheren Empfehlungen schlägt PCI DSS 4.0 vor, dass Entwickler „mindestens“ jährlich geschult werden. Wenn die Implikation jedoch darin besteht, dass einmal im Jahr ein ausreichender Kontaktpunkt für die sichere Softwareentwicklung ist, reicht das bei weitem nicht aus und es ist unwahrscheinlich, dass es zu sichererer, konformer Software führt.

Die Schulung von Entwicklern sollte mit einer grundlegenden Ausbildung in den OWASP Top 10 beginnen, ebenso wie alle anderen sprachrelevanten und geschäftskritischen Sicherheitslücken. Dies sollte Teil eines fortlaufenden Programms sein, mit dem Ziel, diese Fähigkeiten weiter auszubauen und Sicherheit nicht nur von Anfang an in die Softwareentwicklung einzubetten, sondern auch in ihre Denkweise und Herangehensweise an ihre Rolle. Darüber hinaus müssen die Rollen und Verantwortlichkeiten der Entwicklungskohorte und ihren Managern völlig klar sein. Sicherheit sollte eine gemeinsame Verantwortung sein, aber es ist nur fair, die Erwartungen zu dokumentieren und sicherzustellen, dass sie angemessen erfüllt werden können.

Angesichts der verfügbaren Vorlaufzeit für die Vorbereitung auf die PCI DSS 4.0-Konformität ist es möglich, wichtige Fortschritte bei der unternehmensweiten Verbesserung der Sicherheitskultur zu erzielen, und das ist ein fruchtbarer Boden für den Aufbau der sicherheitsbewusstesten Entwicklungskohorte, die Sie je hatten.

‍

Chez Secure Code Warrior, nous innovons constamment pour aider les développeurs et les organisations à acquérir les compétences nécessaires pour relever les défis actuels en matière de sécurité, en constante évolution. Pour ce faire, nous mettons en place des programmes de validation des codes sécurisés très attrayants, flexibles et faciles à gérer. 

Tout le monde veut un bon retour sur investissement lorsqu'il s'agit d'investir dans sa pile technologique ou dans des programmes de formation supplémentaires. En matière de sécurité, cependant, vous devez jouer sur le long terme. En investissant dans une sécurité axée sur les développeurs, vous réduirez non seulement le risque de violations coûteuses, la perte de productivité et la dette technologique accumulée, mais vous créerez également une stratégie proactive et rentable pour rester à l'avant-garde du paysage actuel des menaces. 

Au cours du dernier trimestre, Secure Core Warriors a mis en œuvre de nouvelles méthodes d'apprentissage avec Coding Labs, qui est maintenant disponible pour tous les clients de Secure Code Warrior . Nous sommes ravis d'annoncer les améliorations apportées à la gestion de la participation et aux versions de cours, et nous avons créé de nouvelles activités de cours telles que Guidelines ! 

Plongeons dans l'histoire pour en savoir plus !

Élargir la portée et la profondeur de la plate-forme SCW 

Secure Code WarriorL'expansion continue de notre contenu nous aide à maintenir nos modules pertinents, opportuns et adaptés à ce que vous devez savoir dans le paysage de la cybersécurité d'aujourd'hui. Grâce à l'étendue et à la profondeur de plus de 55 langages, il est facile de construire et d'étendre un programme pour former les développeurs dans un grand nombre de langages et de frameworks. 

Lignes directrices pour le codage disponibles en Courses 

L'ajout de lignes directrices offre aux développeurs un apprentissage contextuel et à leur rythme qui couvre principalement l'atténuation de la sécurité. Les lignes directrices sont plus approfondies que les vidéos et se concentrent sur un langage ou un cadre spécifique. D'autres activités offensives telles que les défis, Missions et les Walkthroughs exigent déjà des développeurs qu'ils comprennent la vulnérabilité. Nous avons créé les lignes directrices pour compléter ces activités d'un point de vue défensif.  

Les développeurs peuvent lire les lignes directrices sur Courses, et les administrateurs peuvent les utiliser dans les modèles de cours. Les lignes directrices couvrent les vulnérabilités répertoriées dans le Top 10 2021 de l'OWASP et contiennent des extraits de code en C#, Java, JavaScript, Python, Pseudocode et PHP. 

Nouveau contenu du défi

Secure Code Warrior met régulièrement à jour et crée de nouveaux défis qui sont pertinents, opportuns et adaptés aux besoins de votre organisation. Nous sommes heureux d'annoncer l'élargissement des défis disponibles en : 

• Dart : Flutter - un langage mobile pour construire des applications multiplateformes fluides sur Android et iOS
• Terraform : GCP - un langage de développement d'infrastructure en tant que code pour Google Cloud Provide. 

Les développeurs peuvent analyser le code, trouver la vulnérabilité et faire preuve d'esprit critique pour choisir la meilleure mise en œuvre de la sécurité afin de prévenir les vulnérabilités répertoriées.

Prochainement : nouveau contenu pour les développeurs frontaux 

Les développeurs frontaux ont eux aussi besoin d'un code sécurisé ! C'est pourquoi nous publierons des vulnérabilités frontales supplémentaires sur Missions et Walkthroughs. Les développeurs frontaux pourront également accéder à Missions à l'adresse Courses. 

Ces mises à jour s'efforcent de couvrir l'ensemble des vulnérabilités spécifiques au front-end, qu'il s'agisse de vulnérabilités courantes telles que le XSS basé sur le DOM ou de vulnérabilités moins fréquemment rencontrées telles que l'injection CSS. 

Des descriptions étape par étape fourniront aux développeurs frontaux des conseils fiables sur la manière dont les vulnérabilités sont exploitées. Les développeurs avancés pourront également tester leurs compétences sur le site Missions à l'adresse Tournaments. 

Simplifier l'expérience des administrateurs et des développeurs

La configuration d'un programme d'éducation au code sécurisé évolutif et engageant est désormais plus facile que jamais grâce à des améliorations clés de la convivialité de la plateforme. 

‍

Version des cours, archivage et gestion de la participation 

Désormais, vous pouvez suivre l'évolution constante des besoins du programme d'une organisation grâce à de nouvelles méthodes de modification des programmes existants. La gestion des versions de cours permet aux administrateurs de modifier leurs Courses existants sans avoir à créer un tout nouveau cours. Les administrateurs peuvent également supprimer les tests Courses ou les Courses non pertinents auxquels aucun développeur n'est inscrit, ce qui leur permet de désencombrer leurs archives. 

En outre, la possibilité d'appliquer des filtres supplémentaires sur la page de gestion des cours permettra aux administrateurs de filtrer plus facilement les cours sur lesquels ils souhaitent travailler. Courses peut être filtré en fonction d'un certain nombre d'attributs tels que le statut du cours, la date de fin et les équipes inscrites. Par exemple, les administrateurs peuvent facilement localiser tous les Courses avec une limite de temps, avec une fin de cours assessment attachée, ou si le cours est en projet ou en aperçu.

En plus du versionnage et du filtrage pour Courses, les administrateurs sont maintenant en mesure de réinviter les participants aux cours en masse, ainsi que de les retirer d'un cours si nécessaire. Les administrateurs disposent ainsi d'une solution en un clic pour réinviter les développeurs "invités", ce qui leur permet d'économiser du temps et de l'énergie pour leur rappeler de revenir sur la plateforme et de commencer à apprendre !

‍

Voilà pour les nouvelles fonctionnalités de ce trimestre ! Suivez Secure Code Warrior sur Twitter pour être tenu au courant des dernières versions et améliorations.

Vous souhaitez essayer Secure Code Warrior mais vous n'avez pas encore de compte ? Créez un compte d'essai gratuit dès aujourd'hui pour commencer.

Bei diesem festlichsten aller jährlichen Anlässe für Cybersicherheitsexperten Nationaler Monat des Cybersicherheitsbewusstseins ist eine Zeit, die viele Unternehmen nutzen, um über den allgemeinen Herzschlag des Sicherheitsbewusstseins in der gesamten Organisation nachzudenken und ihn zu bewerten. Und mit 62% der Unternehmen sind von einem Phishing- oder Social-Engineering-Angriff betroffen Allein im Jahr 2018 kann nicht genug betont werden, wie wichtig es ist, sicherzustellen, dass jeder Mitarbeiter des Unternehmens — ob in einer Sicherheitsrolle oder nicht — über eine angemessene Schulung zum Thema Cybersicherheit verfügt.

Als zunehmend globales Ereignis bietet der Monat einen Sammelpunkt für die Diskussion bewährter Verfahren, und die Initiativen sind bewusst oberflächennaher Natur. Aber auch Unternehmen mit soliden Sicherheitsprogrammen und internen Spezialisten können diese Zeit nutzen, um die eher technischen Teams dahingehend zu beurteilen, was sie benötigen, um im Kontext ihrer Rolle ein stärkeres Sicherheitsbewusstsein zu entwickeln.

Für AppSec-Spezialisten, Leiter von Entwicklungsteams und die sicherheitsbewussteren Mitglieder der technischen Kohorte mag es sich ein bisschen so anfühlen, als würde man lernen, Eier zu lutschen, aber es sind diese Champions innerhalb des Unternehmens, die Sicherheit unternehmensweit auf ein neues Niveau heben können.

So steigern Sie Ihren Monat des Cybersicherheitsbewusstseins

Dies ist eine einmalige Gelegenheit für das Sicherheitsteam, dem Entwicklungsteam so etwas wie einen Olivenzweig auszudehnen, vielleicht in Form von teamübergreifenden Aktivitäten und Programmen, die Entwicklern helfen können, die Sicherheit im Kontext ihrer Arbeit positiver zu beurteilen.

Zu den Kick-off-Ideen gehören:

1. Unterstützen Sie Entwickler dabei, die Unterstützung zu erhalten, die sie benötigen, um mehr über sichere Codierung zu erfahren. Nicht die richtigen Werkzeuge für den Job zu haben, ist eine großartige Möglichkeit, sich gerechtfertigt zu fühlen, wenn man eine Aufgabe in den Too Hard Basket wirft. Wenn Entwickler nicht über die richtigen Schulungen und Tools verfügen, um Sicherheit als Priorität im Codierungsprozess zu betrachten, ist es kein Wunder, dass so viele Teams schlecht gerüstet sind, um häufige Sicherheitslücken aus ihrem Code herauszuhalten.
   
   Nutzen Sie diesen Monat, um zu verstehen, was im Entwicklungs-Tech-Stack noch fehlt, welche Manager zusammenarbeiten können, um die Kommunikation zu verbessern und die Sichtbarkeit der Sicherheit zu erhöhen, und wer sich auch in Zukunft für Sicherheit einsetzen und diese fördern kann.
   
2. Veranstalten Sie ein „Lunch and Learn'Event“. In den Bereichen Cybersicherheit und Entwicklung wimmelt es im Allgemeinen nur so von unglaublich großzügigen Menschen, die ihr Fachwissen nur allzu gerne weitergeben. Wenden Sie sich an Konferenzredner, technische Kollegen in anderen Unternehmen oder sogar an lokale OWASP-Chapter und finden Sie heraus, wer möglicherweise kommen und mit dem Team chatten oder ein Webinar mit jemandem in der Organisation aufzeichnen kann. Das ist ein relativ schneller Gewinn, und es kann für angehende Entwickler von großem Vorteil sein, wenn sie verschiedene Karrieremöglichkeiten im Sicherheitsbereich vor sich haben.
   
3. Versammelt euch zu einem freundschaftlichen Wettkampf. Etwas über Sicherheit zu lernen macht viel mehr Spaß, wenn man etwas anderes und besonderes macht. Turniere zum sicheren Programmieren sind eine großartige Möglichkeit, Entwickler dazu zu bringen, ihre Fähigkeiten im Bereich sicheres Programmieren zu testen und in einer spielerischen Umgebung mit ihren Kollegen zu konkurrieren. Bringen Sie ein Kostüm-Thema ins Spiel und seien Sie kreativ mit den Teams zusammen (wie wäre es mit Entwicklern im Vergleich zu ihren Managern?). Bestellen Sie Pizza, Getränke, lassen Sie energiegeladene Musik laufen, und es kann ein Ereignis sein, an das sich die gesamte Organisation erinnern wird.

Der Community etwas zurückgeben: Laden Sie Ihre kostenlose Secure Code Bootcamp-App herunter

Ich bin selbst Entwickler und es war schon immer so, dass wir nach dem suchen, was wir kostenlos teilen und verwenden können. Ich bin stolz darauf, Freeware zu entwickeln, die anderen helfen könnte, und dieser Monat ist ein guter Zeitpunkt, um über unsere Wurzeln nachzudenken und zu schauen, was wir der Community bieten können.

Zu diesem Zweck freuen wir uns, unsere neue, kostenlose App Secure Code Bootcamp vorstellen zu können. Dies ist ein sicherer Codierungsbegleiter im Taschenformat für Programmierer, die sich selbst herausfordern und ihr Sicherheitsbewusstsein überall und jederzeit schrittweise schärfen möchten.

Laden Sie die App herunter für iOS und Android jetzt, und lerne, wie man OWASP-Sicherheitslücken in Node.JS, Python:Django, Java:Spring, C#.NET: MVC findet und identifiziert:

Es ist kein Geheimnis, dass unsere Hauptaufgabe darin besteht, Software und ihre Entwicklung sicher zu machen; bei der Entwicklung wurde von Beginn der Produktion an auf Sicherheit geachtet. Unsere Vision setzt neue Maßstäbe für die Softwareentwicklung, bei der Entwickler mit den Fähigkeiten und dem Wissen ausgestattet werden, anfälligen Code zu erkennen während des Schreibprozesses und repariere es, bevor es überhaupt zu einem Problem wird.

Vor diesem Hintergrund denken Sie vielleicht, dass wir erfreut sind, von neuen Datenschutzverletzungen, Cyberangriffen und ausgenutztem Code zu hören, die Unternehmen auf der ganzen Welt betreffen. Diese Vorfälle unterstreichen sicherlich den Bedarf an unserem Service in mehreren Branchen. Die Wahrheit ist, es ist ziemlich frustrierend. Es ist klar, dass wir als Branche immer wieder dieselben Fehler machen, weil die meisten Sicherheitsschulungen einfach nicht robust genug sind, um Risiken zu minimieren und diese Sicherheitslücken zu verhindern.

Das jüngste Opfer einer Datenschutzverletzung ist Ticketmeister. Wenn Sie zu den Tausenden von betroffenen Kunden gehören, hätten Sie eine E-Mail erhalten, in der Sie über den Vorfall und die Änderung Ihres Passworts informiert wurden. Niemand erwartet, dass seine persönlichen Daten verletzt werden, nur weil er Tickets für ein Konzert oder eine Sportveranstaltung kauft, doch hier sind wir.

Es ist eine schreckliche Situation für alle; schädlich für den Ruf von Ticketmaster und ein geradezu schlechtes Kundenerlebnis. Es gibt jedoch ein Problem: Es war nicht ausschließlich ihre Schuld.

Sie sehen, das Unternehmen nutzte die Dienste einer Drittanbieter-Kundendienstanwendung von Inbenta Technologies. Ticketmaster UK entdeckte, dass das Produkt bösartigen Code enthielt, was dazu führte, dass fünf Prozent der weltweiten Kundendaten kompromittiert wurden.

Und wie genau haben es Hacker geschafft, dieses System auszunutzen? Sie manipulierte eine einzelne Zeile JavaScript-Code, von Inbenta Technologies an die Anforderungen von Ticketmaster angepasst. Laut Inbenta wurde der Code auf einer Seite verwendet, für die er nicht konzipiert war, und wenn sie es gewusst hätten, hätten sie ihn als Sicherheitslücke identifiziert.

Bei der Sicherheitslücke selbst handelt es sich im Wesentlichen um ein Sicherheitsproblem beim Hochladen und Speichern von Bibliotheken, bei dem nur eine Sicherheitsverletzung jede Site betreffen kann, auf der derselbe Code geladen ist. Der Code kann geändert werden, um persönliche Daten zu sammeln und an die Angreifer weiterzuleiten — nur für den Anfang. Dies ist ein einfacher Exploit mit weitreichendem Schadenspotenzial, und wir arbeiten daran, uns mit einem Reihe von plattforminternen Trainingsübungen für Entwickler.

Natürlich ist es praktisch unmöglich, ein Unternehmen zu führen, ohne sich auf Anwendungen von Drittanbietern zu verlassen. Sie haben jedoch keine Kontrolle darüber, wie sie ihre Software erstellen, und im Wesentlichen keinen Einblick in die Sicherheitsstärke ihres Codes. Es wird zu einer Vertrauensübung. Wenn Ihr Drittanbieter in Bezug auf sichere Codierungspraktiken nachlässig ist, öffnen Sie möglicherweise die Tür zu einer Sicherheitslücke in deinFirma.

Also, was ist die Lösung? Einfach ausgedrückt: Wir alle müssen es besser machen. Wir müssen aufhören, Sicherheit als lästiges Hindernis auf dem Weg der Unternehmensinnovation zu betrachten.

Es ist einfacher als Sie denken, Ihr Entwicklungsteam mit den richtigen Tools und dem richtigen Wissen auszustatten, um Sicherheit zu gewährleisten und schlechten Code im Keim zu ersticken. Wir haben uns gefreut, dass so viele der weltweit größten und bekanntesten Finanz-, Telekommunikations-, Einzelhandels- und Technologieunternehmen diesen neuen Ansatz übernommen haben, aber es sollte nicht die alleinige Domäne der Fortune-100-Unternehmen sein, Maßnahmen zur Sicherheitsausbildung zu ergreifen. Jedes Unternehmen, das Entwickler zu seinen Mitarbeitern zählt, muss Schulungen durchführen, um Teams dabei zu unterstützen, sicher zu programmieren.

Das kürzlich veröffentlichte Whitepaper, das ich in Zusammenarbeit mit unserem CTO Matias Madou verfasst habe, zeigt die Vorteile des Aufbaus einer Sicherheitskultur in Ihrem Unternehmen. Wir erläutern, warum dies der Schlüssel ist, um Innovationen voranzutreiben, agil zu bleiben und die finanziellen Auswirkungen unsicherer Codes zu reduzieren.

Sie finden Tipps, darunter:

* Wie man Sicherheitsschulungen für Entwickler relevant und ansprechend gestaltet

* Wie man Entwicklern beibringt, ihre eigenen Probleme zu identifizieren und zu beheben

* Wie man Entwicklern hilft, ihren eigenen Code sicher zu erstellen.

Ich lade dich ein zu laden Sie diese Ressource herunter und setzen Sie es ein, um sich für die Sicherheit in Ihrem Unternehmen einzusetzen, die Fähigkeiten Ihres Teams auszubauen und an vorderster Front zu stehen, wenn es darum geht, einen höheren Codestandard zu setzen.

Nous devons cesser de considérer la sécurité comme un obstacle gênant à l'innovation dans les entreprises.

Wenn ich Sie fragen würde, wie viel es kosten würde, nur eine Zeile Computercode in einem Gerät zu ändern, das bereits in Betrieb ist, welche Zahl würde Ihnen in den Sinn kommen? Ein paar hundert Dollar? Vielleicht Tausende?

Laut Aviation Today ist es kostet 1 Million $ für eine kommerzielle Fluggesellschaft, um eine Codezeile in ihren Flugzeugen zu aktualisieren. Bei so hohen Kosten bräuchten sie wahrscheinlich einen überzeugenden Grund, um die erforderlichen Maßnahmen zu ergreifen, um die Systeme ihres Flugzeugs zu aktualisieren, was mich wirklich zum Nachdenken über eine Reihe von Faktoren gebracht hat.

Aufschlüsselung der Kosten

In dem Artikel wird zwar nicht beschrieben, was die Kosten von 1 Million US-Dollar ausmachen, aber ich denke, das ist eine tragfähige Zahl. Ich bin kein Experte speziell für Softwareupdates von Fluggesellschaften, aber ich kann davon ausgehen, dass einige der Schritte, zu denen die Fluggesellschaft in dieser Situation gezwungen ist, ergreifen zu müssen.

Zunächst muss die Fluggesellschaft einen Fehler oder eine Sicherheitslücke entdecken, die das Update erforderlich macht. Das zitierte Beispiel besteht aus Untersuchungen, die das US-Heimatschutzministerium (DHS) an einer Boeing 757 durchgeführt hat. Die Ergebnisse — ein Remote-Hack nach nur zwei Arbeitstagen — sind mehr als überzeugend genug, sodass jede Fluggesellschaft sie zur Kenntnis nehmen kann.

Von dort aus müssen Softwareentwickler die Ergebnisse analysieren, neuen Code schreiben und ihn in einer sicheren Umgebung testen, um sicherzustellen, dass das Problem behoben ist. Jetzt kommt der knifflige Teil. Die Fluggesellschaft muss für jedes anfällige oder fehlerhafte Flugzeug Flugverbot verhängen, den neuen Code anwenden, ihn testen, um sicherzustellen, dass er mit dem jeweiligen Flugzeug funktioniert, und diesen Plan dann für kommerzielle Flüge erneut zertifizieren.

Laut airfleets.net hat Southwest Airlines derzeit 499 Boeing 737-700-Flugzeuge in seiner Flotte. Bedenken Sie den Zeit- und Geldaufwand, der erforderlich ist, wenn in diesem speziellen Flugzeugmodell eine Sicherheitslücke auftaucht.

Nicht nur eine Airline-Herausforderung

Es liegt auf der Hand, dass Fluggesellschaften von Anfang an ein berechtigtes Interesse daran haben sollten, solide Prinzipien der sicheren Codierung anzuwenden. Nachdem ich ein paar Augenblicke darüber nachgedacht hatte, konnte ich mir zahlreiche Branchen und Situationen vorstellen, in denen ähnliche Kosten anfallen könnten. Anstatt sich Sorgen zu machen, dass Flugzeuge aufgrund einer gehackten Sicherheitslücke vom Himmel fallen, wie wäre es mit medizinische Geräte wie Herzschrittmacher? Wie viel kostet es, eine halbe Million lebensrettender Elektronikgeräte zurückzurufen und zu aktualisieren?

In der Automobilindustrie hören wir weiterhin Gespräche und Sicherheitsbedenken über selbstfahrende Autos. Doch selbst unsere „typischen“ Fahrzeuge sind stärker denn je auf die Konnektivität zum Internet angewiesen, was direkt zu einigen Problemen führt - wenn unterhaltsam - Sicherheitsbedenken.

Es ist eine einfache Tatsache, dass es viel mehr Geld kostet und mehr Aufwand und Zeit in Anspruch nimmt, Geräte oder Systeme zu aktualisieren, nachdem sie in eine Produktionsumgebung eingeführt wurden oder bevor sie in Serie hergestellt wurden, als die Integration von Sicherheit in Ihren ursprünglichen Entwicklungsprozess. Dennoch sehen wir weiterhin jeden Tag neue vermeidbare Softwarefehler und Cybersicherheitslücken, was die Notwendigkeit unterstreicht, dass Unternehmen nach Möglichkeiten suchen müssen, sichere Softwareentwicklung aufbauen in ihre Entwicklungskultur.

Die Änderung einer Codezeile auf einem Avionikgerät kostet 1 Million US-Dollar, und die Implementierung dauert ein Jahr. Southwest Airlines, deren Flotte auf der 737 von Boeing basiert, würde sie „bankrott“ machen, wenn eine Cyber-Sicherheitslücke spezifisch für Systeme an Bord der 737 wäre

‍

Anfang dieses Monats hatte ich die Gelegenheit, daran teilzunehmen OWASP AppSec-Tag 2019 im schönen Melbourne. Diese Veranstaltungen, bei denen Entwickler im Mittelpunkt stehen, gehören zu meinen Favoriten im Kalender. Sie sind eine demütigende Erinnerung an die Community, die unermüdlich daran arbeitet, Softwareingenieure und Spezialisten weiterzubilden und zu befähigen, sich bei ihrer Arbeit für Sicherheit einzusetzen.

Das Gastaufgebot war sensationell - ganz zu schweigen von erfrischend vielfältig - und es ist ein großartiges Gefühl, dass auch ich nach all den Jahren in der Branche inspiriert gehen kann. Leute wie Tanja Janca, Tony James und Teri Radichel lieferte unglaubliche Vorträge, während Wireghul„Eldar Marcussen stellte das gesamte Auditorium vor Ort vor Ort auf die Probe, aber es war toll, ein so großes Sicherheitsbewusstsein unter den Teilnehmern zu beobachten.

In diesem Jahr war Secure Code Warrior Platin-Sponsor der Veranstaltung. Ich musste lächeln, als ich mich daran erinnerte, dass es vor nur vier Jahren das Team hinter dem OWASP AppSec Day war, das unserem Bootstrap-Startup mit einem kostenlosen Stand und einer Werbeaktion zur Seite stand. Es war ein Moment des Stolzes zu sehen, wie weit wir als Unternehmen gekommen waren, und eine Zeit, um dankbar zu sein, dass es eine so großzügige Gemeinschaft von unglaublichen Menschen gibt.

Toni James: Sicherheit aus der Sicht eines Entwicklers

Wenn es eine Sache gibt, die wir auf dieser Welt mehr fördern müssen, dann ist es Empathie. Und wenn es darum geht, Software auf der ganzen Linie sicherer zu machen, ist es wichtig, die Notlage des Entwicklers zu verstehen.

Tonis Präsentation hat mir sehr gut gefallen und ich bin mir sicher, dass sie für jeden Entwickler sofort nachvollziehbar war. Die Geschichte beinhaltet viel mehr als nur „sicheren Code schreiben“, und obwohl ich sicherlich glaube, dass effektiv geschulte Entwickler unsere beste Chance im Kampf gegen Sicherheitslücken sind, ist es unerlässlich, ihre täglichen Herausforderungen zu berücksichtigen.

Die Arbeit eines Softwareentwicklers kann Millionen von Benutzern zur Schau gestellt werden, wichtige Infrastrukturen unterstützen und die treibende Kraft hinter Diensten sein, die wir für selbstverständlich halten. Der Aufbau von Funktionen, die Umsetzung von Geschäftsinnovationen und die Einhaltung schlanker Lieferfristen sorgen für viel Druck, und das ist, bevor ein AppSec-Team groß wird und seine harte Arbeit auseinandernimmt. Toni sprach darüber, wie das Leben in diesem Umfeld aussieht und wie eine gute Portion Empathie auf allen Seiten zu weitaus besseren Prozessen und Sicherheitsergebnissen führen kann. Ich freue mich sehr, dass so gesunde Fortschritte gemacht werden, um die Kluft zwischen Entwicklern und AppSec-Teams zu überbrücken. Letzten Endes ist dies ein entscheidendes Element einer positiven, blühenden Sicherheitskultur, und Toni ist ein Paradebeispiel dafür, dass dieser Prozess unglaublich gut funktioniert.

Tanya Janca und Teri Radichel: Sicherheits-Superhelden

Nicht dass es ein Wettbewerb wäre, aber die Beiträge von Tanya Janca und Teri Radichel zur Konferenz gehörten zu meinen Favoriten. Zehn Minuten nach Beginn ihres Tutorials über selbstgemachte Cloud-Sicherheitsanalysen zeigten sich ihr unglaublicher Erfahrungsschatz, ihre Qualifikationen und ihr Fachwissen, aber auch ihre aufrichtige Herzlichkeit und ihr Wunsch, Wissen zu teilen und die Entwickler-Community zu unterstützen. Gemeinsam präsentierten sie realistische und durchführbare Maßnahmen zur Gewährleistung der Sicherheit von Azure-Implementierungen, einschließlich praktischer Ratschläge zur Festlegung von Sicherheitsrichtlinien und Maßnahmen zur Minimierung der Zugriffsrechte.

Eine schnelle Google-Suche verrät Ihnen alles, was Sie über ihr Engagement für die Unterstützung von Entwicklern an der Basis wissen müssen. Es gibt eine Fülle kostenloser Ressourcen, Mentoring-Möglichkeiten und Interviews, um die unterhaltsame und ansprechende Seite der Softwaresicherheit zu fördern. Sie sind inspirierende, wichtige Verfechter unserer Community. Wenn sie auf der nächsten Sicherheitskonferenz, an der Sie teilnehmen, sprechen, wären Sie sauer, wenn Sie ihre Sitzung verpassen würden.

Kunden auf der großen Bühne

Es war großartig zu sehen, dass so viele unserer Kunden nicht nur anwesend waren, sondern auch die Bühne besaßen und ihr immenses Sicherheitswissen mit dem Publikum teilten.

Wir haben es geschafft zu fangen Telstrahält Andrew Bailey einen wichtigen Vortrag zum Thema „Adding the „Sec'to DevOps“. Sein Erfahrungsschatz als leitender Softwareingenieur, der sich jetzt auf Anwendungssicherheit und sichere Codierung konzentriert, war eine hervorragende Perspektive, die hervorgehoben werden sollte. Er gab umfassende Tipps zur Verbesserung der Sicherheit in jeder Phase des SDLC (natürlich auch gleich zu Beginn, indem er mehr Entwickler in sicherer Codierung trainierte).

Ken Johnson ist Teil von GitHubdas Sicherheitsteam, und ich habe mich sehr gefreut, dass er am Ende der Konferenz dem Expertengremium beitrat. Er und die anderen Diskussionsteilnehmer beantworteten nur allzu gerne drängende Fragen des Publikums, auch solche, die in den Medien nicht unbedingt die Aufmerksamkeit erhalten, die sie verdienen. Neben verschiedenen Brancheneinblicken brachte er die Podiumsdiskussion dazu, wie wichtig Wohlbefinden und Work-Life-Balance sind, was in Zeiten des Burnouts von Entwicklern sehr wichtig ist.

Ich möchte mich ganz herzlich bei Julian Berton und dem gesamten OWASP Melbourne-Team für eine weitere unglaubliche Konferenz bedanken. Wir sehen uns nächstes Jahr (mit mehr Aufklebern).

J'ai récemment été interviewé pour le podcast Silver Bullet, animé par Gary McGraw, où j'ai discuté des avantages de l'industrie par rapport à la recherche universitaire, des raisons pour lesquelles il n'était pas facile de créer une entreprise en Europe et de l'orientation future de l'industrie de la sécurité des applications.

Je n'ai jamais eu l'intention de créer une entreprise, mais je l'ai fait parce que je voyais trop d'entreprises se débattre avec le même problème : écrire du code sécurisé est un défi pour la plupart des développeurs. Toute une industrie se concentre sur la recherche de problèmes de sécurité dans le code, et ces problèmes ne font que s'accumuler.

Il existe très peu de solutions visant à aider efficacement les organisations et leur équipe de développement qui se battent pour résoudre les problèmes trouvés, et encore moins pour essayer de prévenir l'introduction de nouveaux problèmes dans le code. De plus en plus, les organisations prennent conscience de ce cercle vicieux et réalisent que leur équipe de développement doit être formée à l'écriture de code sécurisé dès le départ et qu'elle doit être équipée des outils et des processus nécessaires.

Si vous souhaitez en savoir plus sur la façon dont Gary McGraw et moi-même envisageons l'avenir du secteur, consultez le podcast Silver Bullet!

Émission 139 : Matias Madou discute de la formation au développement sécurisé et de la recherche sur les tests de sécurité des logiciels

https://www.synopsys.com/software-integrity/resources/podcasts/show-139.html