Welches Entwickler erfordern, um den Kampf gegen häufige Schwachstellen zu resultieren

Die heutige Bedrohungslandschaft entwickelt sich ständig weiter, und Organisationen und Unternehmen in allen Branchen nach sich ziehen heute mehr denn je die dringende Notwendigkeit, stimmig sichere Software zu erstellen und zu warten. Während wenige Branchen – wie zum Leitvorstellung die Finanzbranche – seit dieser Zeit einiger Zeit regulatorischen und Compliance-Anforderungen unterliegen, beobachten wir eine stetig wachsende Mitbringsel für jedes Best Practices im Kategorie Cybersicherheit hinaus den höchsten Regierungsebenen, mit den USA, Großbritannien und Großbritannien fünfter Kontinent wirft ein ganz neues Licht hinaus die Notwendigkeit einer sicheren Entwicklungsprozess in jeder Winkel des SDLC.

Trotzdem finden Angreifer ständig neue Wege, um selbst die fortschrittlichsten Schutzmechanismus- und Abwehrmaßnahmen zu umgehen. Z. B. nach sich ziehen viele ihren Kern von welcher Verfügbarmachung von Schadsoftware hinaus die Kompromittierung von APIs oder dasjenige Starten gezielter Angriffe gegen eine Versorgungskette verlagert. Und während welche Vorfälle hinaus hoher Lage mit viel größerer 7-Sep entstehen, trifft dies im gleichen Sinne hinaus die einfacheren Exploits wie Cross-Site-Scripting und SQL-Injection zu, die beiderartig seit dieser Zeit Jahrzehnten eine Peitsche welcher Cybersicherheitsverteidigung darstellen. Erst letzten Monat wurde eine kritische SQL-Injection-Schwachstelle in einem WooCommerce-WordPress-Plugin mit einem Schweregrad von 9,8/10 gemeldet.

Es wird spürbar, dass Cybersicherheitsplattformen und -verteidigungen zwar kritische Komponenten c/o welcher Defensive moderner Angriffe sind, freilich welches wirklich gesucht wird, ist sicherer Geheimzeichen, welcher ungezwungen von Schwachstellen bereitgestellt werden kann. Und dasjenige erfordert eine bewusste und engagierte Anhebung sicherer Codierungsstandards, die von sicherheitsbewussten Entwicklern umgesetzt wird.

Viele Entwickler sagen, dass sie parat sind, sich für jedes Sicherheit einzusetzen und sich zu höheren Standards welcher Codequalität und sicheren Fassung zu verpflichten, freilich sie können es nicht selber schaffen. Wir können es uns nicht leisten, die Bedürfnisse von Entwicklern im Kampf gegen häufige Schwachstellen zu ignorieren, und sie erfordern die Unterstützung durch geeignete Tools und Schulungen sowie eine Überarbeitung welcher traditionellen Metriken, nachher denen sie oft von ihren Arbeitgebern und Organisationen beurteilt werden.

Warum die meisten Entwickler Sicherheit nicht schon vorziehen

Best Practices für jedes die Kodierung nach sich ziehen sich im Laufe welcher Jahre denn Reaktion hinaus Geschäftsanforderungen und Markttrends weiterentwickelt. In welcher Vergangenheit wurden die meisten Anwendungen mithilfe des sogenannten Wasserfall-Entwicklungsmodells erstellt, c/o dem Softwareingenieure daran arbeiteten, ihren Geheimzeichen so vorzubereiten, dass er eine fortlaufende Schlange von Meilensteinen oder Zielen erreichte, im Vorhinein sie zur nächsten Entwicklungsphase übergingen. Wasserfall neigte dazu, die Entwicklungsprozess von Programmen zu unterstützen, die, nachdem sie jeder vorherigen Meilensteine ​​hinaus ihrem Weg erreicht hatten, zum Zeitpunkt ihrer Verfügbarmachung für jedes die Produktionsumgebung ungezwungen von Fehlern oder Betriebsfehlern waren. Gleichwohl nachher heutigen Maßstäben war es schmerzhaft langsam, mit manchmal 18 Monaten oder mehr zwischen dem Beginn eines Projekts und dem Gelingen welcher Ziellinie. Und dasjenige wird heutzutage in den meisten Unternehmen nicht gehen.

Die agile Methode ersetzte Waterfall tendenziell und legte viel mehr Zahl hinaus Performanz. Und darauf folgte DevOps, dasjenige hinaus noch mehr Performanz ausgelegt ist, während Entwicklungsprozess und Unternehmen miteinander kombiniert werden, um sicherzustellen, dass Programme so gut wie sofort produktionsbereit sind, nachdem sie die letzten Entwicklungsanpassungen vorgenommen nach sich ziehen.

Performanz reichlich Sicherheit und so gut wie die Gesamtheit andere reichlich Systemfunktionalität hinaus zu stellen, war eine Notwendigkeit, denn sich dasjenige Geschäftsumfeld weiterentwickelte. In einer Cloud-basierten Welt, in welcher jeder ständig online ist und jeder paar Sekunden mobile Transaktionen in Millionenhöhe stattfinden können, ist es geschäftskritisch, Software so schnell wie möglich bereitzustellen und in die Continuous Integration- und Continuous Delivery-Pipeline (CI/CD) zu schaffen für jedes Unternehmen.

Es ist nicht so, dass Organisationen sich nicht um Sicherheit gekümmert hätten. Es ist nur so, dass im wettbewerbsintensiven Geschäftsumfeld, dasjenige in den meisten Branchen herrscht, Performanz denn wichtiger geachtet wurde. Und Entwickler, die mit dieser Performanz nachkommen konnten, blühten solange bis zu dem Zähler hinaus, an dem sie zum wichtigsten Mittel wurde, mit dem ihre Arbeitsleistung beurteilt wurde.

Jetzt, da fortgeschrittene Angriffe so katastrophal zunehmen, wird die Verfügbarmachung von anfälligem Geheimzeichen zu einer Spannung. Die Präferenzen verschieben sich erneut, womit die Sicherheit zunehmend zum Hauptaugenmerk welcher Softwareentwicklung wird, gefolgt von welcher Performanz. Dasjenige Nachrüsten von Sicherheit ist nicht nur gefährlich, sondern verlangsamt im gleichen Sinne den Prozess welcher Softwarebereitstellung. Dies hat zum Beförderung welcher DevSecOps-Methodik geführt, die versucht, Performanz und Sicherheit zusammenzuführen, um c/o welcher Generierung von sicherem Geheimzeichen zu helfen, und Sicherheit denn gemeinsame Verantwortung zu betrachten. Gleichwohl Entwickler, die hinaus reine Performanz trainiert sind, können ohne viel Unterstützung ihrer Organisationen kein funktionales Sicherheitsbewusstsein gedeihen.

Welches Entwickler erfordern, um wirklich Kraft hinaus die Reduzierung von Schwachstellen zu nehmen

Die gute Nachricht ist, dass die meisten Entwickler eine Umstellung hinaus sichere Kodierung und eine Neupriorisierung welcher Sicherheit denn Teil des Entwicklungsprozesses sehen möchten. In einer umfassenden Umfrage, die Ursprung des Jahres von Evans Data unter reichlich 1.200 professionellen Entwicklern hinaus welcher ganzen Welt durchgeführt wurde, sagte die überwältigende Mehrheit, dass sie dasjenige Kurs welcher Erstellung von sicherem Geheimzeichen unterstützen. Die meisten erwarteten im gleichen Sinne, dass dies eine Priorität in ihren Organisationen werden würde. Gewiss gaben nur 8 % welcher Befragten an, dass dasjenige Schreiben von sicherem Geheimzeichen leicht zu bewerkstelligen sei. Dasjenige lässt viel Raum für jedes Verbesserungen in den Entwicklungsteams welcher meisten Organisationen zwischen dem, welches gesucht wird, und dem, welches erforderlich ist, um dorthin zu gelangen.

Dasjenige einfache Vorschreiben von sicherem Geheimzeichen wird die Arbeit nicht erledigen, und ohne die starke Inanspruchnahme, die richtigen Fähigkeiten und dasjenige richtige Erleuchtung aufzubauen, wird dies ihren Workflow stark stören. Entwicklungsteams zu tun sein in einer Umgebung leben, die ihre Sicherheitsmentalität fördert und eine Kultur welcher gemeinsamen Verantwortung fördert.

Dasjenige Wichtigste, welches gesucht wird, ist eine bessere Schulung für jedes sie, gefolgt von Tools, die helfen, sicheres Programmieren zu einem nahtlosen Teil ihres Arbeitsablaufs zu zeugen. Und dasjenige Sendung sollte so individuell werden, dass weniger erfahrene Entwickler ihre Schulung beginnen können, während sie lernen, wie man die Arten von Schwachstellen erkennt, die sich oft in Geheimzeichen einschleichen, mit vielen praktischen Übungen und Beispielen. In welcher Zwischenzeit können fortgeschrittenere Entwickler, die ihre Sicherheitskenntnisse unter Demonstration stellen, stattdessen mit komplexeren Fehlern und vielleicht sogar fortschrittlicheren Bedrohungsmodellierungskonzepten betraut werden.

Neben welcher Finanzierung und Unterstützung von Schulungsprogrammen, einschließlich welcher Verfügbarmachung von genügend Zeit für jedes Entwickler, um ordnungsgemäß an diesen Programmen teilnehmen zu können, zu tun sein Organisationen im gleichen Sinne die Genre und Weise ändern, wie ihre Kohorte bewertet wird. Die primäre Metrik für jedes die Belohnung von Entwicklern muss sich von welcher reinen Performanz wegbewegen. Stattdessen könnten Bewertungen diejenigen honorieren, die sicheren Geheimzeichen erstellen können, welcher ungezwungen von Schwachstellen oder Exploits ist. Ja, Performanz kann im gleichen Sinne ein bewerteter Kriterium sein, freilich in erster Linie muss Geheimzeichen sicher sein, und die moderne Entwicklungsprozess muss vereinen Weg beschreiten, hinaus dem Sicherheit c/o Performanz kein Mythos mehr ist.

Dasjenige Versenden von unsicherem oder angreifbarem Geheimzeichen sollte kein akzeptables Geschäftsrisiko darstellen, und dasjenige Nachrüsten von Sicherheitsmaßnahmen wird zunehmend ineffektiv. Zum Glücksgefühl ist die beste Waffe, um diesen beunruhigenden Trend zu bekämpfen, die Entwickler-Gemeinschaft dazu zu schaffen, sicheren Geheimzeichen zu produzieren, den Angreifer nicht ausnutzen können. Die meisten Entwickler sind parat, sich dieser Herausforderung zu stellen; verschenken Sie ihnen die Unterstützung, um es zu verwirklichen.

Secure Geheimzeichen Warrior ist eines von vier Unternehmen, die im Gartner® Cool Vendors™ in Software Engineering: Enhancing Developer Productivity Report genannt werden. Wir sind parat, Entwicklungsteams derbei zu helfen, die Vielschichtigkeit welcher sicheren Softwareentwicklung mit Tools zu bewältigen, die in ihrer Welt sinnvoll sind. Mehr routiniert.

Notiz – Dieser Vorbehalt wurde geschrieben und beigesteuert von Matias Madou, CTO und Mitbegründer von Secure Geheimzeichen Warrior.