Die Vorteile des Benchmarkings von Sicherheitskompetenzen für Entwickler
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Fazit
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Der zunehmende Fokus auf sicheren Code und die Secure-by-Design-Prinzipien erfordert, dass Entwickler von Beginn des SDLC an in Cybersicherheit geschult werden. Tools wie der Trust Score von Secure Code Warrior helfen dabei, ihre Fortschritte zu messen und zu verbessern.
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Fazit
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Fazit
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Matias는 15년 이상의 소프트웨어 보안 경험을 가진 연구원이자 개발자입니다. 그는 Fortify 소프트웨어와 같은 회사와 자신의 회사를 위한 솔루션을 개발했습니다. Sensei 안전. 그의 경력을 통해, Matias는 상용 제품으로 주도하고 자신의 벨트 아래 10 개 이상의 특허를 자랑하는 여러 응용 프로그램 보안 연구 프로젝트를 주도하고있다. 마티아스는 책상에서 떨어져 있을 때 고급 응용 프로그램 보안 교육을 위한 강사로 일했습니다. courses RSA 컨퍼런스, 블랙 햇, 데프콘, BSIMM, OWASP AppSec 및 브루콘을 포함한 글로벌 컨퍼런스에서 정기적으로 강연합니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 프로그램 난독화를 통해 응용 프로그램 보안을 연구하여 응용 프로그램의 내부 작동을 숨깁니다.
Da Cyberbedrohungen immer häufiger und raffinierter werden, konzentriert sich der Schwerpunkt der Cybersicherheit auf die Bedeutung von sicherem Code. Die des Weißen Hauses Nationale Cybersicherheitsstrategie und die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA) Von der Konstruktion her sicher Die Initiative legt zusammen mit Initiativen und Gesetzen in anderen Ländern die Verantwortung für die Sicherheit direkt auf die Schulter der Softwarehersteller. Eine Verlagerung nach links — oder genauer gesagt, von links —, um die Sicherheit zu einem frühen Zeitpunkt des Softwareentwicklungszyklus (SDLC) zu gewährleisten, was einst als „nett zu haben“ galt, ist heute für Unternehmen unerlässlich, um ihre Daten und Systeme zu schützen und regulatorische Folgen nach einer Sicherheitsverletzung zu vermeiden.
Der Schlüssel zur Gewährleistung sicherer Programmierpraktiken liegt in der Schulung der Entwickler. Softwareingenieure erhalten in der Regel wenig oder keine Cybersicherheitsausbildung. Ihre Aufgabe, insbesondere in der heutigen beschleunigten DevOps-Umgebung, bestand darin, neue Anwendungen, Upgrades und Dienste so schnell wie möglich herauszubringen — zunehmend mithilfe schnell arbeitender generativer KI-Modelle — und es den Sicherheitsteams zu ermöglichen, Cybersicherheitsprobleme zu einem späteren Zeitpunkt im SDLC anzugehen. Das ist eine ineffiziente Methode, um die Fülle von Fehlern zu beheben, die bei der Erstellung von so viel Code auftreten und häufig dazu führen, dass Software-Sicherheitslücken in das Ökosystem gelangen.
Entwickler müssen von Anfang an darin geschult werden, sicheren Code zu schreiben und in der Lage zu sein, unsicheren Code abzufangen, der von KI generiert wird oder wenn er in Open-Source-Software und anderer von ihnen verwendeter Software von Drittanbietern vorhanden ist. Für viele Entwicklungsteams und Organisationen ist dies Neuland. Woher wissen sie, dass Entwickler die Schulung erhalten, die sie benötigen? Und wird diese Schulung regelmäßig durchgeführt?
Einige Unternehmen, die sich für Entwickler weiterbilden, fanden es vorteilhaft, grundlegende Fähigkeiten zu entwickeln, mit denen sich Entwickler aneignen und ihre Fortschritte anhand klar definierter Benchmarks messen können. Um diese Bemühungen zu unterstützen, hat Secure Code Warrior einen Benchmark eingeführt, mit dem der Fortschritt der Entwickler bei der Sicherheitsschulung genau gemessen werden kann. Das SCW-Vertrauenswert ermöglicht es Unternehmen, zu messen, wie gut die Schulungen am Arbeitsplatz angewendet werden, und ermöglicht es den Sicherheits-, Entwickler- und Technikteams, zusammenzuarbeiten.
Auf diese Weise können Sie nachweisen, dass sich Sicherheitscode-Schulungen durchsetzen, und gleichzeitig Bereiche mit Verbesserungspotenzial identifizieren.
Das Argument für sicheres Design
Softwarehersteller haben allen Grund, zu Beginn des Prozesses Sicherheit in den SDLC zu integrieren. Die steigende Nachfrage nach Anwendungen und Diensten und die Geschwindigkeit, die KI in den Entwicklungsprozess bringt, haben erwies sich als nützlich für Entwickler, die sich schnell für generative KI entschieden haben, aber das führt auch unweigerlich dazu fehlerhafte Software wird in die Pipeline entlassen. Je mehr Code generiert wird, desto mehr Fehler — und aktuelle Forschungen hat herausgefunden, dass fast drei Viertel der Anwendungen (unabhängig davon, wie sie erstellt wurden) mindestens eine Sicherheitslücke aufweisen, wobei fast 20% von ihnen als kritisch eingestuft werden.
Das Aufspüren von Sicherheitslücken zu einem späteren Zeitpunkt im SDLC wird unerschwinglich zeitaufwändig und kostspielig. Das Nationale Institut für Standards und Technologie (NIST) hat gefunden dass das Beheben von Fehlern während des Testens 15-mal länger dauert als das Sichern von Software zu Beginn des SDLC, und dass die Behebung während der Bereitstellungs- und Wartungsphase 30- bis 100-mal länger dauern kann.
All dies unterstreicht, wie wichtig es ist, Sicherheit zu Beginn des Entwicklungszyklus anzuwenden, was sich nicht nur als die wirksamste, sondern auch als die kostengünstigste Methode zur Risikominderung erwiesen hat. Entwickler, die mit Sicherheitsteams zusammenarbeiten, anstatt sie als separate Einheiten agieren zu lassen, sind in der besten Position, um Sicherheit an den Anfang des SDLC zu stellen. Und Entwickler, die in bewährten Sicherheitspraktiken geschult wurden, waren bei der Reduzierung von Sicherheitslücken effektiv. Das Problem ist, dass so wenige von ihnen geschult wurden.
Die Schönheit von Benchmarks
Der grundlegende Weg für Unternehmen besteht darin, grundlegende Sicherheitskompetenzen zu entwickeln, Schulungen anzubieten und sowohl gegenüber den Organisationen als auch gegenüber den Aufsichtsbehörden zu überprüfen, ob die Entwickler die erforderlichen Fähigkeiten erworben haben. Dies hat sich für viele Unternehmen aus allen Wirtschaftssektoren als schwierig erwiesen, muss es aber nicht sein.
Eine der Herausforderungen, die Sicherheitsverantwortliche identifizieren, ist die Schwierigkeit, ein Schulungsprogramm im gesamten Unternehmen zu skalieren. Die Untersuchungen von SCW zeigen jedoch, dass Unternehmen, insbesondere solche mit einem großen Kader von Entwicklern, einen sicheren Designansatz erfolgreich implementieren können. Die Ergebnisse kleinerer Unternehmen weisen in der Regel große Unterschiede in der Art und Weise auf, wie gut sie die Secure-by-Design-Prinzipien anwenden. Dennoch können auch sie von einem Ansatz profitieren, der Trust Scores beinhaltet, und werden sich wahrscheinlich schneller verbessern.
Trust Score verwendet Benchmarking-Metriken, um den Fortschritt einzelner Lernender zu messen, aggregiert ihre Ergebnisse, um die Leistung des gesamten Teams zu bewerten, und vergleicht den Fortschritt des Unternehmens mit branchenspezifischen Benchmarks und Best Practices. Es verfolgt nicht nur das Training, sondern zeigt auch, wie gut Entwickler ihre neuen Fähigkeiten täglich anwenden. Außerdem werden Bereiche hervorgehoben, die verbessert werden müssen, sodass das Unternehmen seine Schulungs- und Weiterbildungsprogramme optimieren kann.
In allen CISAs kritische Infrastruktursektoren Für die Daten, für die Daten verfügbar waren, sind die meisten Organisationen bei der Umsetzung sicherer Designprinzipien ungefähr auf dem gleichen Stand. Die Vertrauenswerte für Branchen, die von Finanzdienstleistungen und der Rüstungsindustrie bis hin zu Gesundheitswesen, IT und kritischer Fertigung reichen, fielen in den gleichen Bereich — etwas über 300 auf einer 1.000-Punkte-Skala. Keine Branche übertrifft die anderen, obwohl allgemein angenommen wird, dass die Finanzdienstleistungen als die am stärksten regulierte Branche weit vorne liegen würden.
Sektoren kritischer Infrastrukturen, die nicht im Trust Score-Ranking enthalten sind — wie Chemie-, Energie- und Nuklearbetrieb — entwickeln in der Regel keine eigene Software, sondern verlassen sich auf andere Sektoren, insbesondere die IT. Die Bedeutung der Aufrechterhaltung sicherer Systeme in diesen Sektoren (niemand möchte, dass ein Kernkraftwerk kompromittiert wird) zeigt jedoch nur, wie wichtig es ist, die von ihnen verwendete Software überhaupt abzusichern.
Fazit
Der erhöhte regulatorische Druck und die Realität der Cyber-Bedrohungslandschaft haben einen Secure-by-Design-Ansatz für Unternehmen, die ihre Daten, Systeme, Geschäftsabläufe und ihren Ruf schützen wollen, unerlässlich gemacht. Die Entwicklung sicherer Software liegt größtenteils in den Händen der Entwickler. Sie benötigen jedoch Unterstützung in Form eines gründlichen Weiterbildungs- und Schulungsprogramms, das ihnen die erforderliche Ausbildung bietet und zeigt, wie diese angewendet wird.
Ein Programm, das Benchmarks beinhaltet und durch ein Tool wie Trust Score unterstützt wird, kann einen klaren Überblick über die kritischen Fortschritte eines Entwicklungsteams geben. Es ist ein wichtiger neuer Ansatz, bei dem sowohl Entwickler als auch die Unternehmen, für die sie arbeiten, sicherstellen müssen, dass sie ihre Fähigkeiten in der Entwicklung sicherer Software ständig verbessern und gleichzeitig die neuen Secure-by-Design-Anforderungen erfüllen.
목차
마티아스 마두는 보안 전문가, 연구원, CTO이자 Secure Code Warrior 의 공동 설립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션에 중점을 둔 애플리케이션 보안 박사 학위를 취득했습니다. 이후 미국의 Fortify에 입사하여 개발자의 보안 코드 작성을 지원하지 않고 코드 문제만 탐지하는 것만으로는 충분하지 않다는 것을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안에 대한 부담을 덜어주며 고객의 기대를 뛰어넘는 제품을 개발하게 되었습니다. 팀 어썸의 일원으로 책상에 앉아 있지 않을 때는 RSA 컨퍼런스, 블랙햇, 데프콘 등의 컨퍼런스에서 무대에 올라 발표하는 것을 즐깁니다.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
