Zertifiziertes Sicherheitsbewusstsein: Eine Executive Order zur Förderung von Entwicklern
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
.avif)
Die jüngste Exekutivverordnung der US-Bundesregierung befasst sich mit vielen Aspekten der funktionalen Cybersicherheit, beschreibt aber zum ersten Mal ausdrücklich die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie über verifizierte Sicherheitskenntnisse und -bewusstsein verfügen müssen.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Wenn es so etwas wie einen göttlichen Zeitpunkt gibt, dann muss gesagt werden, dass die Biden-Administration es mit ihrem Exekutivverordnung (EO) Ankündigung, die sich mit dem Plan der US-Regierung befasst, die Bundesnetzwerke zu stärken sowie die Cybersicherheitsstandards und bewährten Verfahren im ganzen Land zu verbessern. Diese Strategie folgt auf zwei aktuelle, verheerende Cyberangriffe: den anhaltenden Verstoß gegen die Lieferkette von SolarWinds, zusätzlich zu den Koloniale Pipeline Angriff auf die Gasinfrastruktur.
Während diese Ereignisse zweifellos auf allen Regierungsebenen für Unruhe sorgten, markiert diese Richtlinie eine spannende Zeit für die Zukunft der Cybersicherheit. Es scheint, dass wir es endlich ernst meinen mit dem Schutz unserer digitalen Existenz von oben, und es gibt keinen besseren Zeitpunkt als jetzt, um auf bessere Standards und qualitativ hochwertigere Software zu drängen.
Die EO geht auf viele Aspekte der funktionalen Cybersicherheit ein, beschreibt aber zum ersten Mal speziell die Auswirkungen von Entwicklern und die Notwendigkeit, dass sie verifiziert Sicherheitskompetenzen und -bewusstsein. Jahrelang haben wir von allen Seiten geschrien, dass dies der richtige Weg ist, um die üblichen Sicherheitslücken zu bekämpfen, über die wir uns so oft stolpern lassen, und dass Regierungsmandate, sich an diesem Ansatz auszurichten, der Weg zu weitreichenden Erfolgen in der Cyberabwehr ist.
Wie sollten Organisationen — und Bundesbehörden gleichermaßen — auf diese Anordnung reagieren? Lassen Sie uns einige Hauptkategorien auspacken.
'Tick-the-Box' ist vom Tisch.
Wir weisen seit langem auf die Ineffektivität der meisten Arten von Cybersicherheitstrainings für Entwickler hin. Sie sind oft zu allgemein gehalten, werden nicht so vermittelt, dass sie das gewünschte Ergebnis erzielen und zum gewünschten Ergebnis führen (sprich: sichererer Code), und sie werden viel zu selten angesprochen. Schlimmer noch, viele Unternehmen begnügen sich mit Schulungen nach dem Ankreuzen. Dabei handelt es sich um einen Ansatz, der das Nötigste vermittelt, „einmal und fertig“, um eine betriebliche Anforderung zu erfüllen und ein Häkchen neben dem Namen eines Entwicklers zu bekommen. Diese Schulungsstrategien sind es, die jeden CISO auf Messers Schneide halten, die Daumen drücken und hoffen, dass sein Unternehmen nicht Opfer der nächsten Zero-Day-Datenschutzverletzung wird. Sie funktionieren einfach nicht, um Sicherheitslücken zu reduzieren und qualitativ hochwertigeren Code zu erstellen.
In Abschnitt 4 von Bidens Mandat wird deutlich gemacht, dass eine Organisation nachweisen muss, dass ihre Entwickler dokumentierte, verifizierte Sicherheitsbestimmungen einhalten:
“Die Leitlinien müssen Kriterien enthalten, anhand derer die Softwaresicherheit bewertet werden kann, Kriterien zur Bewertung der Sicherheitspraktiken der Entwickler und Anbieter selbst sowie innovative Tools oder Methoden zum Nachweis der Konformität mit Sicherheitspraktiken identifizieren.“
Dabei gibt es ein kleines Problem: Derzeit gibt es keine branchenübliche Zertifizierung für Entwickler. In der Lage zu sein, das Niveau der Entwickler in Bezug auf sicheres Programmieren zu messen und diese Fähigkeiten mithilfe von Kursen und Tests zu verbessern, ist von grundlegender Bedeutung. Sie ermöglicht es Unternehmen, sich Ziele zu setzen und die Einhaltung der Vorschriften zu erreichen. Wenn Entwickler ihre Kernkompetenzen in einer praktischen, praxisnahen Umgebung unter Beweis stellen können, kann dies auf aussagekräftige und vertrauenswürdige Weise bewertet und zertifiziert werden. Dies ist der Kern unseres Angebots bei Secure Code Warrior, und wir haben hart daran gearbeitet, ein System zu entwickeln, das für eine zuverlässige Zertifizierung verwendet werden kann, das an den technischen Stack und die organisatorischen Anforderungen des Unternehmens angepasst werden kann.
Diese Fähigkeiten sind wertvoll und können nicht automatisiert werden. Eine Zertifizierung kann Entwickler zu einer sicherheitsbewussten Kraft machen, die die Codebasis vor heimtückischen Bedrohungen schützen kann.
Ein Fokus auf Entwicklertools (und Tools im Allgemeinen).
Zusätzlich zu den Richtlinien zur Überprüfung sicherer Codierungspraktiken befasst sich das EO eingehend mit der Automatisierungs- und Tooling-Seite der Sicherheit.
Aus Sicherheitsgründen wird einfach zu viel Code produziert, als dass Menschen ihn alleine bearbeiten könnten, und Automatisierung — als Teil eines umfangreichen Tech-Stacks — ist ein wichtiger Bestandteil jedes Sicherheitsprogramms, so wie sie sein sollte. Allerdings sind nicht alle Tools gleich, und es gibt kein „das eine Tool, das sie alle beherrscht“, das jede Sicherheitslücke in jeder Programmiersprache aufdeckt. Ein gutes Sicherheitsprogramm verfolgt einen nuancierten Ansatz, insbesondere wenn es um Tools und Dienste geht, die speziell auf Entwickler zugeschnitten sind.
Abschnitt 3 der EO beschreibt die Erwartungen an Anbieter, die Software entwickeln, die für die Verwendung durch die Bundesregierung in Frage kommt, sowie instruktive Richtlinien für den Einsatz von Tools im Entwicklungsprozess:
“ (iii) Einsatz automatisierter Tools oder vergleichbarer Verfahren zur Aufrechterhaltung vertrauenswürdiger Quellcode-Lieferketten, wodurch die Integrität des Codes gewährleistet wird;
(iv) Einsatz automatisierter Tools oder vergleichbarer Verfahren, die nach bekannten und potenziellen Sicherheitslücken suchen und diese beheben. Diese müssen regelmäßig oder mindestens vor der Veröffentlichung des Produkts, der Version oder des Updates funktionieren.“
Sicherheitstools im Tech-Stack für Entwickler sind eine der Möglichkeiten, bewährte Sicherheitsmethoden schnell zu verbessern und sicherzustellen, dass Veröffentlichungen die besten Chancen haben, Termine einzuhalten und nicht durch Sicherheitslücken und andere Showstopper verzögert zu werden. Die Sache ist jedoch, dass Entwickler immer noch kontextbezogenes Lernen benötigen, um die leistungsstärksten Tools optimal nutzen zu können. Es ist von entscheidender Bedeutung, dass sie verstehen, was gemeldet wurde, warum es gefährlich ist und wie es behoben werden kann. Das wird dazu führen, dass die Tools weniger Fehler erkennen müssen.
Die besten Tools lassen sich in die Umgebung eines Entwicklers integrieren und unterstützen ihn dabei, qualitativ hochwertigeren (und sichereren) Code zu erstellen und sicherzustellen, dass die Sicherheit im Vordergrund steht.
Sicherung der Lieferkette.
Einer meiner Lieblingsteile der EO sind die umfassenden Pläne zur Sicherung der Software-Lieferkette. Angesichts der SolarWinds-Veranstaltung ist das nicht überraschend, aber es ist ein wichtiges Highlight:
“Die Sicherheit der von der Bundesregierung verwendeten Software ist für die Fähigkeit der Bundesregierung, ihre kritischen Funktionen auszuführen, von entscheidender Bedeutung. Bei der Entwicklung kommerzieller Software mangelt es häufig an Transparenz, an ausreichender Konzentration auf die Widerstandsfähigkeit der Software gegen Angriffe und an angemessenen Kontrollen, um Manipulationen durch böswillige Akteure zu verhindern. Es ist dringend erforderlich, strengere und vorhersehbarere Mechanismen einzuführen, um sicherzustellen, dass Produkte sicher funktionieren, und wie beabsichtigt... muss die Bundesregierung Maßnahmen ergreifen, um die Sicherheit und Integrität der Software-Lieferkette rasch zu verbessern, wobei der Schwerpunkt auf kritischer Software liegen sollte.“
Dieses Urteil wird jedes Softwareunternehmen betreffen, das Geschäfte mit der US-Regierung machen möchte, aber es sollte überall als Standard gelten. Die mangelnde Transparenz von Drittanbietern (ganz zu schweigen von Entwicklern, die Komponenten von Drittanbietern verwenden) in Bezug auf ihre Sicherheitsmaßnahmen macht es unglaublich schwierig, zu beurteilen, zu validieren und zu erklären, dass die besten Praktiken im Bereich Cybersicherheit eingehalten werden. Wir müssen die Lieferanten, die wir verwenden, und die Software, die sie schreiben, analysieren. Diese Maßnahmen mögen als „Extrameile“ angesehen werden, aber sie sollten Teil eines Goldstandards für bewährte Cybersicherheitspraktiken sein.
Der sichere Versand von sicherem Code war lange Zeit ein Problem in unserer Branche, aber dies ist die perfekte Gelegenheit, aktuelle Prozesse zu evaluieren und die Entwicklung einer gehärteten Software und Cloud-Infrastruktur voranzutreiben, um die uns diejenigen beneiden, die zurückgeblieben sind. Sprechen Sie jetzt mit uns und finden Sie heraus, wie Sie davon profitieren können Lehrveranstaltungen, Einschätzungen, und Tools für Entwickler um Ihr nächstes Team sicherheitsbewusster Entwickler zu zertifizieren.
%20(1).avif)
.avif)
