Zertifiziertes Sicherheitsbewusstsein: Eine Executive Order zur Förderung von Entwicklern
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
.avif)
Die jüngste Exekutivverordnung der US-Bundesregierung befasst sich mit vielen Aspekten der funktionalen Cybersicherheit, beschreibt aber zum ersten Mal ausdrücklich die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie über verifizierte Sicherheitskenntnisse und -bewusstsein verfügen müssen.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
%20(1).avif)
.avif)
