Las ventajas de la evaluación comparativa de las competencias en materia de seguridad para los desarrolladores
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Conclusión
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
El creciente interés por el código seguro y los principios de seguridad desde el diseño exige que los desarrolladores reciban formación en ciberseguridad desde el inicio del ciclo de vida del desarrollo de software (SDLC). Herramientas como Trust Score de Secure Code Warrior a medir y mejorar sus progresos.
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Conclusión
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Conclusión
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Matías es un investigador y desarrollador con más de 15 años de experiencia práctica en seguridad de software. Ha desarrollado soluciones para empresas como Fortify Software y su propia empresa Sensei Security. A lo largo de su carrera, Matías ha dirigido múltiples proyectos de investigación sobre seguridad de aplicaciones que han dado lugar a productos comerciales y cuenta con más de 10 patentes en su haber. Cuando está lejos de su escritorio, Matias ha servido como instructor para la formación de seguridad de aplicaciones avanzadas courses y regularmente habla en conferencias mundiales como la Conferencia RSA, Black Hat, DefCon, BSIMM, OWASP AppSec y BruCon.
Matías es doctor en Ingeniería Informática por la Universidad de Gante, donde estudió la seguridad de las aplicaciones mediante la ofuscación de programas para ocultar el funcionamiento interno de una aplicación.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Conclusión
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Índice
Matias Madou, Ph.D. es experto en seguridad, investigador y CTO y cofundador de Secure Code Warrior. Matias obtuvo su doctorado en Seguridad de Aplicaciones en la Universidad de Gante, centrándose en soluciones de análisis estático. Más tarde se incorporó a Fortify en EE.UU., donde se dio cuenta de que no bastaba con detectar problemas de código sin ayudar a los desarrolladores a escribir código seguro. Esto le inspiró para desarrollar productos que ayuden a los desarrolladores, alivien la carga de la seguridad y superen las expectativas de los clientes. Cuando no está en su escritorio como parte de Team Awesome, le gusta estar en el escenario presentando en conferencias como RSA Conference, BlackHat y DefCon.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
