Code aus dem Käfig: Warum sichere Entwickler unbegrenzt versenden können
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Es scheint verblüffend, dass die meisten Entwickler, die an Code arbeiten, der kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen antreibt, dies tun, ohne vorher ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen?
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Dieser Artikel erschien ursprünglich in SD-Zeiten. Es wurde hier aktualisiert und syndiziert.
Die Überprüfung von Fähigkeiten war die meiste Zeit der Neuzeit ein Aspekt unseres Lebens. Sie verleiht uns Gültigkeit und öffnet Türen, die sonst nicht verfügbar wären. Autofahren ist zum Beispiel für die meisten ein wichtiger Übergangsritus, und es wird von uns erwartet, dass wir eine Reihe standardisierter Prüfungen bestehen, um zu bestätigen, dass wir eine viertausend Pfund schwere Maschine anvertrauen können, die in der Lage ist, über einhundert Meilen pro Stunde zu fahren. Fehler, insbesondere bei hoher Geschwindigkeit, können Sie dieses Privileg oder sogar ein Menschenleben kosten.
Aber was ist, wenn Autofahren für manche mehr als eine alltägliche Annehmlichkeit ist und es zu einem Eliteberuf wird? Eine Person kann ihre Weiterbildung fortsetzen und möglicherweise Formel-1-Fahrer werden, wo sie Maschinen bedienen darf, die schneller sind, als es ein Zivilist realistischerweise schaffen könnte, ohne dass bei hohen Geschwindigkeiten eine große Fehlerwahrscheinlichkeit besteht.
Vor diesem Hintergrund scheint es verblüffend, dass die meisten Entwickler, die an Code für kritische Infrastrukturen, Automobile, Medizintechnik und alles dazwischen arbeiten, dies tun, ohne zuvor ihre Sicherheitsfähigkeiten zu überprüfen. Warum müssen andererseits Entwickler mit Sicherheitskenntnissen, die wiederholt bewiesen haben, dass sie wissen, wie man Dinge sicher baut, wegen der vielen Sicherheitsschleusen in der Warteschlange mit allen anderen in der sich ständig verlangsamenden Entwicklungspipeline anstellen? Die Branche betrachtet das nicht als Versehen, es ist die Norm.
Aus umfangreichen Recherchen wissen wir, dass Die meisten Entwickler räumen der Sicherheit in ihrem Code einfach keine Priorität einund verfügen nicht über die regelmäßige Ausbildung, die erforderlich ist, um viele häufig auftretende Sicherheitslücken zu beheben. Sie sind in der Regel einer der Gründe, warum Sicherheit bei hoher Geschwindigkeit wie ein Hirngespinst erscheint, und viele Entwickler, die sich mit Sicherheit beschäftigen, haben das Gefühl, auf der Autobahn hinter einer Gruppe von Fahrschülern auf der langsamen Spur festzusitzen.
Trotzdem entwickelt sich die Sicherheitswelt langsam weiter, und es besteht eine steigende Nachfrage nach Entwicklern, die über verifizierte Sicherheitskenntnisse verfügen, die sofort loslegen können. Die der Biden-Administration Exekutivverordnung zur Verbesserung der Cybersicherheit des Landes fordert ausdrücklich die Bewertung der Sicherheitspraktiken der Anbieter — und ihrer Entwicklungskohorte — für alle Anbieter in der Software-Lieferkette der US-Regierung. Es liegt auf der Hand, dass die Bedeutung der Sicherheitskompetenzen von Entwicklern in den meisten Sektoren nur zunehmen wird, aber da kaum branchenübliche Bewertungen angeboten werden, wie können Unternehmen nachweisen, dass ihr Sicherheitsprogramm die nachweisbaren Sicherheitsfähigkeiten der Entwickler erweitert, sodass die Umsetzung nicht in die Knie gezwungen wird oder sicherheitsbewusste Entwickler daran gehindert werden, ihre Flügel auszubreiten?
Leistungsbasierte Zutrittskontrolle: Könnte das funktionieren?
Least-Privilege-Sicherheitskontrollen sind in vielen Unternehmen ein wichtiger Bestandteil. Dabei wird jeder Rolle im Rahmen ihrer Arbeit der Zugriff auf Software, Daten und Systeme nach dem Need-to-know-Prinzip zugewiesen, und nichts weiter. Diese Methode — insbesondere in Kombination mit Zero-Trust-Autorisierungsprinzipien — ist hilfreich, um das gesamte Ausmaß der Angriffsfläche abzufangen. Und wir sollten uns wirklich bewerben dieselbe Strategie für API-Berechtigungenund andere softwarebasierte Anwendungsfälle als Standard.
Die meisten von uns in der Sicherheitsbranche sind sich der Tatsache bewusst, dass Software die Welt verschlingt, und der eingebettete Systemcode, auf dem Ihre Heißluftfritteuse läuft, unterscheidet sich wirklich nicht von dem Code, der das Stromnetz am Laufen hält, was sein Potenzial angeht, ausnutzbar zu machen. Unser Leben und unsere kritischen Daten sind den Bedrohungsakteuren ausgeliefert, und jeder Entwickler muss verstehen, welche Möglichkeiten er hat, seinen Code zu schützen, wenn er richtig geschult ist. Es erfordert eine ernsthafte Verbesserung der Sicherheitskultur eines Unternehmens, aber für eine echte gemeinsame Verantwortung im DevSecOps-Stil benötigen Entwickler einen Grund, sich mehr um die Rolle zu kümmern, die sie spielen, und der vielleicht schnellste Weg, ihre Denkweise zu ändern, wäre, den Zugriff auf das Code-Repositorium an sichere Lernergebnisse beim Programmieren zu binden.
Nehmen wir zum Beispiel eine Organisation im BFSI-Bereich, stehen die Chancen gut, dass es hochsensible Repositorys geben wird, die Kundendaten oder wertvolle Informationen wie Kreditkartennummern speichern. Warum sollten wir dann davon ausgehen, dass jeder Techniker, dem Zugriff gewährt wurde, sicherheitsbewusst ist, strenge PCI-DSS-Anforderungen erfüllt und in der Lage ist, schnell und ohne Zwischenfälle Änderungen an der Hauptniederlassung vorzunehmen? Das mag zwar bei einigen der Fall sein, aber es wäre weitaus sicherer, den Zugriff auf diese empfindlichen Systeme zu beschränken, bis dieses Wissen bewiesen ist.
Die Herausforderung besteht darin, dass in den meisten Unternehmen die Einführung eines „License to Code“ -Szenarios mühsam und je nach Schulungslösung etwas zu manuell wäre, um jegliche Art von Security at Speed-Zielen zu unterstützen. Die richtige Kombination aus integrativer Schulung und Tools kann jedoch der Kern einer entwicklerorientierten, defensiven Sicherheitsstrategie sein.
Eine effektive Trainingsintegration ist nicht unmöglich.
Die Suche nach Weiterbildungslösungen für Entwickler, die sowohl die schnellen Geschäftsziele als auch ihren Arbeitsablauf ergänzen, ist die halbe Miete, aber wenn wir uns ins Zeug legen, um Compliance-Schulungen zu vermeiden, die „einmalig“ sind, ist der einzige Weg, um eine spürbare Reduzierung der Sicherheitslücken auf Codeebene zu erzielen. Und für Entwickler, die sich erfolgreich beweisen? Nun, die Welt des Programmierens liegt ihnen zu Füßen, und sie müssen sich nicht durch Sicherheitskontrollen behindern lassen, die davon ausgehen, dass sie sich nicht in den Grundlagen zurechtfinden.
Praktische Fähigkeiten, die sich nahtlos in die Entwicklungsumgebung integrieren lassen, bieten den nötigen Kontext, damit Ingenieure sichere Programmierkonzepte wirklich verstehen und anwenden können. Dieselben Integrationen können verwendet werden, um den Zugriff auf kritische Systeme effektiv zu verwalten und sicherzustellen, dass diejenigen, die ihre Lernergebnisse übertreffen, ungehindert an den sensiblen Aufgaben mit der höchsten Priorität arbeiten. Es erleichtert auch die Implementierung von Prämien und Anerkennungen und stellt sicher, dass Entwickler mit Sicherheitskenntnissen in ihrer Kohorte als ehrgeizig angesehen werden.
Wie bei vielen Dingen im Leben ist das Glück mit den Mutigen, und den Status Quo zu brechen, um einen sofort einsatzbereiten Ansatz zur Überprüfung der Fähigkeiten von Entwicklern zu verfolgen, ist genau das, was wir brauchen, um die Standards für akzeptable Codequalität von morgen zu verbessern, ohne an Geschwindigkeit einzubüßen.
Índice
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
