Cloudogu Logo

Hallo, wir sind Cloudogu!

Experten für Software-Lifecycle-Management und Prozess­auto­mati­sierung, Förderer von Open-Source-Soft­ware und Entwickler des Cloudogu EcoSystem.

featured image Wollen Sie, dass Entwickelnde mit Sicherheitsbewusstsein programmieren? Bringen Sie die Schulung zu ihnen.
08.09.2021 in Quality

Wollen Sie, dass Entwickelnde mit Sicherheitsbewusstsein programmieren? Bringen Sie die Schulung zu ihnen.


Matias Madou
Matias Madou

Gastautor


Wir leben in aufregenden Zeiten, in denen der digitale Wandel neue bahnbrechende Technologien hervorbringt, die sich auf die Art und Weise auswirken, wie wir arbeiten, schlafen, essen und unsere Freizeit verbringen. Da neue Wettbewerber den Verbrauchern eine größere Auswahl bieten und die Geschäftsmodelle flexibler werden, haben Technologieunternehmen die Möglichkeit, sich mit neuen, aufregenden Technologien hervorzutun, die das Leben ihrer Kunden einfacher machen. Für Entwickelnde bietet diese schnelllebige Welt viele Möglichkeiten, Teil von etwas Großem zu sein. Sie haben die Chance, einem Projekt ihren Stempel aufzudrücken, das andere auf Jahrzehnte hinaus beeinflussen wird.

Mit neuen Möglichkeiten entstehen auch neue Risiken

Neue digitale Geschäftsmodelle verursachen aber neue Schwachstellen in der Infrastruktur, die ausgenutzt werden können, was alle 39 Sekunden zu einem Hackerangriff führt. Wenn man bedenkt, dass fast die Hälfte (48 %) der Unternehmen wissentlich anfälligen Code veröffentlichen, um Termine einzuhalten, stellt dies ein enormes Risiko dar (mehr dazu hier). Aus diesem Grund ist der Start-Left-Ansatz für die Anwendungssicherheit eine kluge Geschäftsentscheidung. Ein großer Teil der Sicherheitsrisiken, denen Unternehmen ausgesetzt sind, geht auf Schwachstellen im Code zurück. Daher ist es sinnvoll, die Entwickelnden zu ermutigen, qualitativ hochwertigen und sicheren Code zu schreiben, um die Wahrscheinlichkeit zu minimieren, dass später im Entwicklungszyklus Schwachstellen gefunden werden. Angesichts der sich abzeichnenden Fristen für die Veröffentlichung dieser erstaunlichen digitalen Lösungen finden Entwickelnde jedoch kaum Zeit, sich mit dem Thema Sicherheit zu befassen. Und da die Sicherheit in der Vergangenheit nicht zu den Prioritäten der Entwickelnden gehörte, liegen die erforderlichen Fähigkeiten bei den AppSec-Teams und nicht bei den Entwickelnden… Wie können wir also dieses Dilemma lösen, um einen Softwareentwicklungszyklus zu erreichen, der sowohl produktiv als auch sicher ist?

Die Entwickelnden brauchen Hilfe, um diesen neuen sicherheitsbewussten Ansatz bei der Softwareentwicklung zu übernehmen.

Qualitativ hochwertiger und sicherer Code ist essentiell

In Anbetracht der oben geschilderten Umstände können Sie verstehen, warum die Sicherheit während des Programmierprozesses in die Schublade “zu schwierig” gelegt und dem Sicherheitsteam überlassen wird. Zu viele konkurrierende Termine, zu wenig Sicherheitskenntnisse und kein persönlicher Grund, sich um die Sicherheit zu kümmern, während alles andere im Gange ist. Die Nachfrage nach sicherem Code ist jedoch einfach zu groß, als dass dieser Ansatz beibehalten werden könnte. Die gute Nachricht ist, dass sich die Entwickelnden dieses Problems zunehmend bewusst sind: Eine kürzlich durchgeführte Umfrage ergab, dass fast neun von zehn Entwickelnden (89 %) zugeben, dass unentdeckte Fehler dem Unternehmen einen hohen Tribut abverlangen. Entwickelnde wissen auch, dass Sicherheits-Fähigkeiten sie für Arbeitgeber attraktiver machen. Vor diesem Hintergrund finden Sie hier drei Maßnahmen, die Unternehmen ergreifen können, um ihre Entwickelnden dabei zu unterstützen, qualitativ hochwertigen Code zu schreiben, der sie aus den richtigen Gründen in die Schlagzeilen bringt.

Lassen Sie uns DevSecOps zum Laufen bringen

Sicherheit ist nach wie vor die Domäne des AppSec-Teams (das, wenn es mit sicherheitsbewussten Entwickelnden zusammenarbeitet, mehr Spielraum hat, anstatt immer wieder die gleichen Fehler zu beheben). Ein funktionierender DevSecOps-Prozess setzt voraus, dass jedes Teammitglied über die Unterstützung und die Tools verfügt, die es braucht, um die Verantwortung für die Sicherheit mitzutragen, und die richtige Schulung ist von größter Bedeutung. Die richtige Auswahl an Tools und Schulungen erfordert das Wissen von AppSec-Experten, die eng mit den Entwickelnden zusammenarbeiten, um sie zu inspirieren und positive Veränderungen voranzutreiben.

Vermitteln Sie Entwickelnden das richtige Sicherheitswissen

Der 2020 Data Breach Investigations Report von Verizon gab an, dass 43 % der Datenschutzverletzungen auf Sicherheitslücken im Internet zurückzuführen sind. Entwickelnde erhalten keine effektive Schulung, weder in der Hochschulausbildung noch im Rahmen von Weiterbildungsmaßnahmen am Arbeitsplatz. Wäre dies der Fall, würden gängige Schwachstellen wie SQL-Injection und Path Traversal der alten Schule nicht ausgenutzt werden, um Daten zu erbeuten. Außerdem wäre der Mangel an Fachkräften im Bereich Cybersicherheit nicht so groß. Wir wissen bereits, dass an einem Arbeitstag zu viel los ist. Welchen Anreiz haben also Entwickelnde, sich in ein Klassenzimmer zu schleppen oder diverse Schritte zu durchlaufen, um Zugang zu einer statischen, theoriegestützten Schulung zu erhalten, wenn es darum geht, ihre Kenntnisse zu erweitern? Es könnte sowohl für die Entwickelnden als auch für das Unternehmen effektiver sein, eine reibungslosere, besser integrierte und weniger störende Sicherheitsschulung zu gewährleisten, indem sie in den Bereichen zugänglich gemacht wird, in denen sie tatsächlich arbeiten, wie Jira, GitHub und in der IDE. Eine in die IDE oder den Issue Tracker integrierte Lösung, die sich auf mundgerechtes Wissen konzentriert, stellt die richtigen Informationen genau in dem Moment bereit, in dem sie benötigt werden. Schulungen sollten nicht nur leicht zugänglich sein, sondern auch zeitnah erfolgen. Kontextbezogenes, praxisnahes Lernen ist bei weitem die effektivste Art der Schulung, bei der mundgerechte Häppchen genau dann bereitgestellt werden, wenn sie am sinnvollsten sind. Dies wird manchmal als “Just in Time”-Schulung (JiT) bezeichnet und ist für Entwickelnde eine sehr effektive Art zu lernen.

Machen Sie die Sicherheitsschulung zu einem Teil des Programmierprozesses

Entwickelnde brauchen Prozesse, die den Anforderungen dieser neuen digitalisierten Welt gerecht werden. Sie müssen in der Lage sein, pünktlich zu liefern, sofort auf sich ändernde Anforderungen zu reagieren und neue Funktionen schnell und zahlreich umzusetzen. Um dies zu erreichen, bedarf es der richtigen Devops-Plattform, die den Entwicklungsprozess vereinfacht und gleichzeitig die Sicherheitskenntnisse und die Qualität der Programmierfähigkeiten der Entwickelnden verbessert. Dieser integrierte Ansatz könnte der Katalysator sein, um Entwickelnde mit weniger störenden Lernprozessen für Weiterbildungen zu gewinnen und Wege für vertiefende Kurse, die Ausbildung von Sicherheitsbeauftragten und die allgemeine Förderung der gemeinsamen Verantwortung zu schaffen. Diese brauchen wir, um die Daten der Welt sicher und zuverlässig zu halten.

DevOps-Toolchain mit integrierten Lehrinhalten

Durch die Integration von Quellcode-Verwaltung, Issue-Tracking, Projektplanung, Dokumentations-Tools und Sicherheitsschulung in eine einfache Infrastruktur mit einem einzigen Login verschwenden Entwickelnde weniger Zeit mit administrativen Aufgaben. Um Unternehmen bei der Verwirklichung dieser Utopie zu helfen, arbeitet Secure Code Warrior mit Cloudogu zusammen, um Sicherheitstrainings direkt in das Tool SCM-Manager zu integrieren. Mit dem Secure-Code-Warrior-Plugin für SCM-Manager werden Lehrvideos und Links zu Sicherheitslücken direkt in Pull Requests angezeigt. Auf diese Weise erhalten Entwickelnde direkt alle wichtigen Informationen über Sicherheitslücken. Genau zu dem Zeitpunkt, an dem sie diese benötigen, einschließlich des Wissens, wie sie diese Schwachstelle verhindern können. Dieses Plugin ist kostenlos und kann sofort eingesetzt werden. Durch die Unterstützung von Unternehmen bei der Einführung eines integrierten Ansatzes für sicheres Coding und die Bereitstellung ihrer gemeinsamen Expertise, um Unternehmen beim Aufbau eines effektiven DevSecOps-Teams zu helfen, zielen Cloudogu und Secure Code Warrior darauf ab, Unternehmen mit den drei skizzierten Grundlagen auszustatten, die erforderlich sind, um führende digitale Produkte für unsere Welt schnell zu entwickeln.

Secure-Code-Warrior-Plugin

Laden Sie das exklusive und kostenlose Secure-Code-Warrior-Plugin für SCM-Manager über die Cloudogu Platform herunter.

Jetzt herunterladen
Secure Code Warrior Logo

Secure-Coding-Skills-Turnier

Um diese Partnerschaft zu feiern, haben beide Unternehmen am 29. September 2021 ein internationales DACH-Coding-Turnier veranstaltet. Während des Turniers konnten sich Entwickelnde mit ihren Kolleginnen und Kollegen in einer Reihe von Herausforderungen messen, bei denen es darum ging, ein Problem zu identifizieren, unsicheren Code zu finden und eine Schwachstelle zu beheben. Alle Herausforderungen basieren auf den OWASP Top 10, und die Spielenden konnten wählen, in welcher Softwaresprache sie antreten wollten, darunter Java EE, Java Spring, C# MVC, C# WebForms, Go, Ruby on Rails, Python Django & Flask, Scala Play, Node.JS, React und sowohl iOS- als auch Android-Entwicklungssprachen. Solche Turniere sind eine kostenlose und ansprechende Möglichkeit, Ihr Programm zur Förderung des Sicherheitsbewusstseins zu starten, mit vielen coolen Preisen für die besten Spielenden.