Anreize für Entwickler sind der Schlüssel zu besseren Sicherheitspraktiken
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Professionelle Entwickler möchten DevSecOps nutzen und sicheren Code schreiben, aber ihre Organisationen müssen diese Suchänderung unterstützen, wenn sie wollen, dass dieser Aufwand wächst.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
%20(1).avif)
.avif)
