Anreize für Entwickler sind der Schlüssel zu besseren Sicherheitspraktiken
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Professionelle Entwickler möchten DevSecOps nutzen und sicheren Code schreiben, aber ihre Organisationen müssen diese Suchänderung unterstützen, wenn sie wollen, dass dieser Aufwand wächst.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
