Die Millionen-Dollar-Frage, die jeder Entwickler seinen potenziellen Arbeitgebern stellen sollte
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig.
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
Die durchschnittlichen Kosten einer Datenschutzverletzung belaufen sich derzeit auf 3,6 Mio. USD. Die Wahrscheinlichkeit, dass Ihr Unternehmen in diesem Jahr angegriffen wird, liegt bei eins von vier. Angesichts dieser Fakten teile ich die Frustration vieler, dass Entwickler ihr Studium nicht abschließen, weil ihnen die Kompetenz in den Bereichen sichere Codierung und Sicherheit in der DNA verankert ist.
Warum? Softwaretechnik ist noch ein relativ junger Beruf. Der Schwerpunkt lag darauf, den Leuten beizubringen, Code schnell zu erstellen, ihn elegant und funktionell zu gestalten, wobei der Schwerpunkt jedoch nur sehr begrenzt darauf lag, den Code sicher zu machen. Das Tempo, mit dem sich Methoden, Technologien, Sprachen und Möglichkeiten ändern, verschärft diese wichtigen Qualifikationslücken nur.
Wir werden das akademische System nicht schnell ändern, daher sollten Entwickler und Unternehmen gleichermaßen damit rechnen, dass Entwickler bei der Arbeit sichere Programmierkenntnisse erlernen müssen. In einigen Berufen kann man lernen, indem man Fehler macht, aber für andere ist das keine Option. So ist es auch mit der Cybersicherheit.
Die Fakten zeigen, dass wir auch mit den Sicherheitsschulungen für Entwickler am Arbeitsplatz nicht sehr gut abgeschnitten haben. Die meisten der weltweit größten Sicherheitslücken sind auf Codierungsfehler zurückzuführen, die es Hackern ermöglichen, sich Rechte in Computernetzwerken zu verschaffen, sodass sie auf wertvolle Daten zugreifen und diese sammeln können. Der Verizon-Bericht zur Untersuchung von Datenschutzverletzungen (DBIR) 2017, zeigt, dass 30% aller Sicherheitsverletzungen direkt auf Sicherheitslücken in Webanwendungen zurückzuführen sind. Diese Schlussfolgerung ist seit 2013 im DBIR-Bericht einheitlich.
Das Weltweite DevSecOps-Kompetenzumfrage 2017 veröffentlicht im August 2017, bestätigte, was wir bereits wussten: Während 65 Prozent der DevOps-Experten der Meinung sind, dass es für ihren Einstieg in die IT sehr wichtig ist, DevSecOps-Wissen zu haben, sind 70 Prozent der Meinung, dass sie nicht die notwendige Ausbildung erhalten, um in der heutigen DevSecOps-Welt erfolgreich zu sein.
Fast 40 Prozent der befragten Personalchefs gaben an, dass die am schwierigsten zu findenden Mitarbeiter die Allzweck-High-End-Entwickler sind, die über ausreichende Kenntnisse in Sicherheitstests verfügen. 70 Prozent der Befragten gaben an, dass die Sicherheitsausbildung, die sie erhalten haben, für ihre aktuelle Position nicht ausreichend ist. Tatsächlich gaben weniger als 4% an, dass ihnen diese Möglichkeit überhaupt geboten wird.
Ich habe das aus erster Hand gesehen, als ich fast ein Jahrzehnt damit verbracht habe, mit mehreren Teams professioneller White-Hat-Hacker zusammenzuarbeiten. Mit tragischer Regelmäßigkeit brachen wir in große Unternehmen, Start-ups und Regierungsbehörden ein und stießen dabei immer auf dieselben Schwächen.
Aus diesem Grund müssen Entwickler ihre Meinung äußern, wenn Sie eingestellt werden. Wenn Ihr potenzieller Arbeitgeber Ihre Sicherheitsschulung für Entwickler nicht ernst nimmt, sollten Sie darüber nachdenken, welcher Art von Unternehmen Sie beitreten möchten.
Die zweite Frage, die Sie stellen sollten, ist, wie sie es umsetzen wollen. Wird es praxisnah und interaktiv sein? Sicherheitsschulungen für Entwickler zu Sicherheitslücken mithilfe von Slideware, Videos, anklickbaren Animationen oder abstrakten Diskussionen helfen Ihnen wahrscheinlich nicht direkt beim Programmieren. Stellen sie sicher, dass Sie kontinuierlich über die neuesten Sicherheitslücken auf dem Laufenden gehalten werden? Gibt es eine Sicherheitsgilde oder Community, von der du lernen kannst? Gibt es Sicherheitsexperten, auf die du zurückgreifen kannst, wenn du Hilfe benötigst?
Um Ihre Fähigkeiten im Bereich sicheres Programmieren zu stärken, müssen Sie kontinuierlich lernen, indem Sie sich praktischen Herausforderungen in bestimmten Programmier-Frameworks stellen und Sie in mehreren Szenarien mit verschiedenen Sicherheitslücken konfrontiert sehen. Sie können einfach nicht anhand eines Beispiels etwas über SQL-Injections lernen. Sie müssen sich mit mehreren Beispielen verschiedener Typen vertraut machen, damit Sie lernen, diese gefährlichen Codierungsmuster zu erkennen.
Einer unserer Kunden verlangte von seinen Entwicklern, zwei Monate lang jeden Tag eine einzige Herausforderung (5 Minuten) zu spielen. Das Unternehmen testete ihre Fähigkeiten vor und nach der Schulung und beobachtete bei einer Gruppe von Hunderten von Entwicklern einen Anstieg der Fähigkeiten zur sicheren Codierung um 60%. Dies bedeutet, dass im späteren Lebenszyklus weniger Ressourcen für das Auffinden und Beheben von Sicherheitslücken aufgewendet werden müssen, und dass auf lange Sicht erhebliche Einsparungen erzielt werden. Das bedeutet, dass Hacker Ihren Code nicht verwenden, um die Daten Ihres Unternehmens zu gefährden.
Laut IDC-Untersuchungen gab es 2014 weltweit 11 Millionen professionelle Entwickler. Im Jahr 2015 stellte Burning Glass fest, dass es bis zu 7 Millionen Berufe gab, für die Programmierkenntnisse erforderlich waren, und dass Programmierjobs im Durchschnitt um 12% schneller wuchsen als der Markt.
Es gibt viele Software-Jobs da draußen. Nehmen Sie also Stellung und wählen Sie Arbeitgeber, die sich dafür einsetzen, für ihre Sicherheit, Ihre Sicherheit und die Sicherheit ihrer Kunden zu sorgen. Wählen Sie im weiteren Sinne Unternehmen aus, die in Sie investieren.
Es gibt eine Frage, die sich jeder Entwickler stellen muss, egal ob Sie ein Absolvent oder ein Veteran sind. Und die Antwort ist wichtig. In einer agilen Welt ist das sogar noch wichtiger geworden, da es sich direkt darauf auswirkt, wie erfolgreich Sie in der Softwareentwicklung sein werden und wie wertvoll Sie für Ihren nächsten Arbeitgeber sein werden.
Es ist die Millionen-Dollar-Frage. Eigentlich ist es die Multi-Millionen-Dollar-Frage!
Bist du entschlossen, mir beim sicheren Programmieren zu helfen?
%20(1).avif)
.avif)
