Zum Hauptinhalt springen

So machen Sie Entwickler zu Security-Fans

App-Security-Awareness schaffen, sichere Coding-Praktiken etablieren

Checkmarx Germany GmbH
Firma: Checkmarx Germany GmbH
Sprache: Deutsch
Größe: 32 Seiten
Erscheinungsjahr: 2021
Besonderheit: registrierungspflichtig

Softwareentwickler stehen meist unter hohem Zeit- und Erfolgsdruck. Sicherheit wird daher beim Coding oft vernachlässigt, zumal Schwachstellen oft erst nach Monaten oder Jahren entdeckt und ausgenutzt werden. Dieser Guide zeigt Ihnen, wie Sie diese Risiken minimieren und aus Entwicklern Security-Fans machen.

Inhalt:

Moderne Konzepte der Softwareentwicklung und -bereitstellung wie Agiles Arbeiten, DevOps oder Continuous Development und Integration (CD/CI) haben zu einer enormen Beschleunigung der Softwarezyklen geführt. Release-Abstände von Monaten oder gar Jahren gehören der Vergangenheit an, stattdessen werden neue Versionen im Wochen-, Tages- oder sogar Stundentakt veröffentlicht.

Langwierige und umständliche Security-Tests stören da natürlich nur und bremsen den Workflow der Entwickler aus. Es ist daher kein Wunder, dass der Sicherheitsaspekt beim Coding oft nicht den ihm zustehenden Stellenwert genießt.

Dieser Guide stellt Ihnen Methoden vor, mit denen Sie bei Entwicklern Awareness schaffen, eine sichere Coding-Praxis erreichen und die Mitglieder Ihres DevOps-Teams zu Security-Fans werden lassen.

Folgende Themen werden behandelt:

  • Was Entwickler umtreibt und warum AppSec-Trainings so oft scheitern.
  • Wie Sie in vier Schritten ein erfolgreiches AppSec-Training entwickeln
  • Welche Rolle Turniere und kontext-basiertes Lernen für eine langfristige und nachhaltige App-Security spielen.

Originalauszug aus dem Dokument:

Warum Checklisten nicht funktionieren

Studien zur Wirksamkeit von Schulungen (etwa Arthur et al.) belegen:

  • Lernen gelingt am besten, wenn das Training auf eine konkrete Verhaltensweise oder Fähigkeit ausgerichtet ist, in einem für den Lernenden relevanten Kontext vermittelt wird und zeitnah umsetzbar ist.
  • Trainings und Fortbildungen müssen zugänglich, relevant und sofort anwendbar sein, statt lediglich Informationen bereitzustellen, um Wissen aufzubauen.
  • Simulationen können das prozedurale, erklärende und erfahrungsbasierte Verständnis der Cybersecurity erweitern und das Lernen effektiver machen (wobei bislang nur wenige Studien diese Behauptung systematisch geprüft haben).

Auch wenn es verführerisch ist, technische Themen in einer simplen Checkliste zusammenzufassen, ist dies der falsche Weg, um das Bewusstsein für die Gefahren in der Application Security zu schärfen.

Wenn sie lediglich als informative Liste präsentiert werden, bewirken Themen wie die OWASP Top 10 Risiken, die SANS Top 25 Software-Fehler, gängige Secure-Coding-Guides oder Best-Practice-Tutorials erfahrungsgemäß keine nachhaltige Verhaltensänderung auf Seiten der Zuhörer.

Der Erfolg von Schulungsmaßnahmen hängt davon ab, ob die Teilnehmer das Gelernte selbst anwenden können – etwa im Rahmen von immersiven Simulationen und Live-Aktivitäten. Für Trainigs im Bereich AppSec-Awareness empfehlen wir gamifizierte und kontextbasierte Schulungen.

So machen Sie Entwickler zu Security-Fans

App-Security-Awareness schaffen, sichere Coding-Praktiken etablieren

Inhaltstyp: Whitepaper
Checkmarx Germany GmbH