Anreize für Entwickler sind der Schlüssel zu besseren Sicherheitspraktiken
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Professionelle Entwickler möchten DevSecOps nutzen und sicheren Code schreiben, aber ihre Organisationen müssen diese Suchänderung unterstützen, wenn sie wollen, dass dieser Aufwand wächst.
首席执行官、主席和联合创始人
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
请点击下方链接下载该资源的PDF文件。
Secure Code Warrior 您的Secure Code Warrior 帮助您在整个软件开发周期中保障代码安全,并建立将网络安全置于首位的企业文化。无论您是应用安全经理、开发人员、首席信息安全官,还是其他从事安全工作的人员,我们都能协助您的企业降低不安全代码带来的风险。
查看报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
Die Cyber-Bedrohungslandschaft wird von Tag zu Tag komplexer. Angreifer scannen Netzwerke ständig nach anfälligen Anwendungen, Programmen und Cloud-Instanzen. Die neueste Variante des Monats sind APIs, die aufgrund ihrer oft laxen Sicherheitskontrollen weithin als einfacher Gewinn angesehen werden. Sie sind so hartnäckig, dass neue Apps manchmal innerhalb weniger Stunden nach der Bereitstellung kompromittiert und ausgenutzt werden können. Der Verizon Data Breach Investigations Report 2021 macht sehr deutlich, dass sich die Bedrohungen gegen Unternehmen und Organisationen richten sind gefährlicher heute als zu jedem anderen Zeitpunkt in der Geschichte.
Es wird immer klarer, dass die einzige Möglichkeit, die erstellte Software wirklich zu stärken, darin besteht, sicherzustellen, dass sie auf sicherem Code basiert. Mit anderen Worten: Der beste Weg, die Invasion der Bedrohungsakteure zu stoppen, besteht darin, ihnen von vornherein den Zugriff auf Ihre Anwendungen zu verwehren. Sobald Sie beginnen, diesen Krieg zu führen, werden die meisten Vorteile den Angreifern zugute kommen.
Diese Situation führte zunächst zu agile Entwicklung und DevOps und später zum gesamten DevSecOps-Bewegung, wo Sicherheit eine gemeinsame Verantwortung für alle ist, die am Prozess der Softwareentwicklung von der Entwicklung bis zur Bereitstellung beteiligt sind. Aber die Basis dieser Pyramide und der wohl wichtigste Teil sind die Entwickler. Während die meisten Entwickler ihren Teil dazu beitragen und sicheren Code schreiben wollen, unterstützen viele der Organisationen, für die sie arbeiten, die Änderungen, die eine so große Prioritätenverschiebung erfordert, weniger.
Niederlage durch Absicht
Viele Jahre lang wurde Entwicklern gesagt, dass ihre Hauptaufgabe in ihren Unternehmen darin bestand, schnell Apps in einer schnelllebigen Umgebung zu entwickeln und bereitzustellen, in der das Geschäft nie aufhört und die Kunden niemals schlafen. Je schneller die Entwickler programmieren konnten und je mehr Funktionen sie bereitstellen konnten, desto wertvoller wurden sie in Bezug auf ihre Leistungsbeurteilungen bewertet.
Sicherheit war ein nachträglicher Gedanke, wenn überhaupt. Stattdessen wurde all das den Teams für Anwendungssicherheit (AppSec) überlassen, herauszufinden. AppSec-Teams waren bei den meisten Entwicklern unbeliebt, da sie fertige Anwendungen oft wieder in die Entwicklung zurückschickten, um Sicherheitspatches anzuwenden oder Code zur Behebung von Sicherheitslücken neu zu schreiben. Und jede Stunde, die ein Entwickler mit der Arbeit an einer App verbrachte, die bereits „fertig“ war, war eine Stunde, in der er keine neuen Apps und Funktionen entwickelte, wodurch seine Leistung (und in den Augen eines besonders strafenden Unternehmens ihr Wert) sank.
Und dann änderte das Bedrohungsumfeld die Bedeutung und Priorisierung von Sicherheit für die meisten Unternehmen. Laut den jüngsten Bericht über die Kosten einer Datenschutzverletzung Nach Angaben von IBM und dem Ponemon Institute kostet eine durchschnittliche Cybersicherheitsverletzung derzeit etwa 3,8 Millionen US-Dollar pro Vorfall, obwohl dies kaum die Obergrenze ist. Allein ein Unternehmen erlitt nach einer Sicherheitsverletzung in seinem Netzwerk Verluste in Höhe von 1,3 Milliarden US-Dollar. Die Unternehmen von heute wollen die Sicherheit, die DevSecOps bietet, belohnen Entwickler, die diesem Ruf folgen, leider nur langsam.
Den Entwicklungsteams einfach zu sagen, dass sie die Sicherheit berücksichtigen sollen, funktioniert nicht, vor allem, wenn sie immer noch nur aufgrund der Geschwindigkeit Anreize erhalten. Tatsächlich könnten Entwickler, die sich in einem solchen System die Zeit nehmen, sich mit Sicherheit vertraut zu machen und ihren Code zu sichern, bessere Leistungsbeurteilungen und lukrative Boni verpassen, die ihre weniger sicherheitsbewussten Kollegen weiterhin verdienen. Es ist fast so, als würden Unternehmen das System unwissentlich für ihre eigenen Sicherheitslücken manipulieren, und das kommt auf ihre Wahrnehmung des Entwicklungsteams zurück. Wenn sie sie nicht als die Sicherheitsfront betrachten, ist es sehr unwahrscheinlich, dass ein tragfähiger Plan zur Nutzung ihrer Belegschaft verwirklicht wird.
Und das erklärt nicht einmal den Mangel an Training. Einige sehr fähige Entwickler haben jahrzehntelange Erfahrung im Programmieren, aber sehr wenig, wenn es um Sicherheit geht... schließlich wurde sie nie von ihnen verlangt. Wenn ein Unternehmen seinen erfahrenen Programmierern kein gutes Schulungsprogramm anbietet, kann es kaum erwarten, dass seine Entwickler plötzlich neue Fähigkeiten erwerben und diese auf sinnvolle Weise umsetzen, wodurch Sicherheitslücken aktiv reduziert werden.
Belohnung von Entwicklern für gute Sicherheitspraktiken
Die gute Nachricht ist, dass die überwältigende Mehrheit der Entwickler ihren Job macht, weil sie ihn sowohl herausfordernd als auch lohnend finden und weil sie den Respekt genießen, den ihre Position mit sich bringt. Lebenslanger professioneller Programmierer Michael Shpilt schrieb kürzlich über all die Dinge, die ihn und seine Programmierkollegen bei ihrer Entwicklungsarbeit motivieren. Ja, er führt unter diesen Anreizen eine finanzielle Entschädigung auf, aber sie steht überraschenderweise weit unten auf der Liste. Stattdessen priorisiert er den Nervenkitzel, etwas Neues zu schaffen, neue Fähigkeiten zu erlernen, und die Befriedigung, zu wissen, dass seine Arbeit direkt dazu verwendet wird, anderen zu helfen. Er spricht auch davon, dass er sich in seinem Unternehmen und seiner Gemeinschaft geschätzt fühlen möchte. Kurz gesagt, Entwickler sind wie viele gute Menschen, die stolz auf ihre Arbeit sind.
Entwickler wie Shpilt und andere wollen nicht, dass Bedrohungsakteure ihren Code kompromittieren und ihn verwenden, um ihrem Unternehmen oder genau den Benutzern, denen sie zu helfen versuchen, zu schaden. Aber ohne Unterstützung können sie ihre Prioritäten nicht plötzlich auf Sicherheit verlagern. Andernfalls ist es fast so, als würde das System gegen sie arbeiten.
Um Entwicklungsteams bei der Verbesserung ihrer Cybersicherheitsfähigkeiten zu unterstützen, müssen ihnen zunächst die erforderlichen Fähigkeiten vermittelt werden. Durch den Einsatz von Lerngerüsten und Tools wie Just-in-Time-Schulungen (JiT) kann dieser Prozess viel weniger schmerzhaft sein und hilft dabei, auf vorhandenem Wissen im richtigen Kontext aufzubauen.
Das Prinzip von JiT ist, dass Entwicklern das richtige Wissen zur richtigen Zeit vermittelt wird. Wenn beispielsweise ein JiT-Entwickler-Trainingstool feststellt, dass ein Programmierer einen unsicheren Code erstellt oder versehentlich eine Sicherheitslücke in ihre Anwendung einführt, kann es aktivieren und dem Entwickler zeigen, wie er das Problem beheben kann und wie schreibe einen sichereren Code um in Zukunft dieselbe Funktion auszuführen.
Angesichts der Verpflichtung zur Weiterbildung müssen die alten Methoden, bei denen Entwickler ausschließlich auf der Grundlage ihrer Geschwindigkeit bewertet wurden, abgeschafft werden. Stattdessen sollten Programmierer auf der Grundlage ihrer Fähigkeit, sicheren Code zu erstellen, belohnt werden, wobei die besten Entwickler Experten im Bereich Sicherheit die dem Rest des Teams helfen, seine Fähigkeiten zu verbessern. Und diese Champions müssen sowohl mit dem Prestige des Unternehmens als auch mit einer finanziellen Vergütung belohnt werden. Es ist auch wichtig, sich daran zu erinnern, dass Entwickler in der Regel keine positive Erfahrung mit Sicherheit haben. Sie durch positives, unterhaltsames Lernen und Anreize zu unterstützen, die ihren Interessen entsprechen, trägt wesentlich dazu bei, sowohl das Wissen zu behalten als auch den Wunsch, ständig neue Fähigkeiten aufzubauen.
Unternehmen können die Geschwindigkeit der Programmierung immer noch in die Bewertung eines Entwicklers einbeziehen, allerdings mit der Erwartung, dass die Entwicklung sicherer Anwendungen etwas länger dauern könnte, zumal Programmierer diese neuen Fähigkeiten erlernen.
DevSecOps kann die ultimative Verteidigung gegen die dunklen Künste einer zunehmend gefährlichen Bedrohungslandschaft sein. Vergessen Sie nur nicht, dass die Champions dieser neuen Welt, die Entwickler, die ständig neuen Code erstellen, respektiert und für ihre Arbeit entschädigt werden müssen.
Willst du deine Sicherheitsfähigkeiten gegen andere Entwickler auf der ganzen Welt unter Beweis stellen? Auschecken Sicherer Codekriegers Olympische Spiele 2021, und du könntest bei unseren globalen Turnieren einen Hauptpreis gewinnen!
%20(1).avif)
.avif)
