Heute hat Secure Code Warrior, der weltweit führende Anbieter von Sicherheitslösungen für Entwickler, neue Erkenntnisse zur Weiterbildung von Entwicklern und deren Auswirkungen auf die Secure-by-Design-Initiativen (SBD) von Unternehmen veröffentlicht. Seit April 2024 haben mehr als 200 Unternehmen, darunter auch Secure Code Warrior, die Secure-by-Design-Verpflichtung unterzeichnet. Die neue Analyse zeigt, dass Organisationen in kritischen Infrastrukturbranchen wie Finanzdienstleistungen, Verteidigung, Gesundheitswesen und IT Fortschritte bei der Vorbereitung ihrer Entwickler auf die Weiterentwicklung ihrer SBD-Initiativen machen. Secure Code Warrior stellte fest, dass die Entwicklerteams dieser Branchen über eine durchschnittliche Sicherheitslage verfügen – gemessen am SCW Trust Score, einem globalen Maßstab, der die Sicherheitskompetenzen von Entwicklerteams quantifiziert – die höher ist als die anderer Branchen.
Chief Information Security Officers (CISOs) fällt es zunehmend schwer, den tatsächlichen ROI in den frühen Phasen ihrer SBD-Initiativen nachzuweisen. In den letzten Jahren war das Fehlen eines Maßstabs zur Bewertung, wie Organisationen im Vergleich zu Branchenstandards abschneiden, eine zentrale Herausforderung. Der Schlüssel zum Erfolg von Secure-by-Design-Initiativen besteht nicht nur darin, Entwicklern die Fähigkeiten zu vermitteln, sicheren Code zu gewährleisten, sondern auch Branchen- und Regierungsbehörden davon zu überzeugen, dass diese Fähigkeiten vorhanden sind.
„Mehr denn je haben wir eine nationale Verantwortung dafür, dass SBD-Weiterbildungsprogramme vorhanden sind“, sagte Chris Inglis, Senior Strategic Advisor bei der Paladin Capital Group und ehemaliger National Cyber Director. „Die Risikominderung steht im Mittelpunkt dieser neuesten Analyse, und Secure Code Warrior ist federführend bei der Verbesserung der Entwickler-Sicherheitsschulungen, der Verhinderung von Cyberangriffen und der Stärkung der kritischen Infrastruktur unseres Landes.“
Wichtigste Ergebnisse: Die Analyse von Secure Code Warrior zur Weiterbildung von Entwicklern in kritischen Infrastrukturbranchen basiert auf Erkenntnissen aus über 20 Millionen Datenpunkten von 600 Unternehmenskunden und mehr als 250.000 aktiven Entwicklern weltweit. Die Analyse ergab Folgendes:
- Die Gesamtzahl der Entwickler, die derzeit an entwicklerzentrierten SBD-Weiterbildungsinitiativen teilnehmen, beträgt weniger als 4 % aller Entwickler weltweit.
- Bestimmte kritische Infrastruktursektoren, wie die Finanzdienstleistungsbranche, wiesen im Vergleich zum Durchschnitt der nicht kritischen Infrastrukturen die höchste Sicherheitsstufe auf, gemessen am SCW TrustScore. So lag der durchschnittliche Trust Score der Finanzdienstleistungsbranche beispielsweise bei 336.
- Überraschenderweise wies der Finanzdienstleistungssektor trotz der Compliance- und Regulierungsanforderungen eine ähnliche Sicherheitslage auf wie mehrere andere kritische Sektoren.
- Umfassende und kleinere Initiativen zur Weiterbildung im Bereich „Secure by Design“ können erfolgreich sein, und Untersuchungen zeigen, dass kleinere Initiativen schnell anlaufen und schneller durchgeführt werden können. Damit diese Initiativen jedoch erfolgreich sind und sich früher eine messbare Rendite (ROI) erzielen lässt, muss laut Untersuchungen ein Mandat erteilt werden.
- Wenn Weiterbildungsinitiativen fest etabliert sind, sind die von Entwicklern in Anwendungen eingebrachten Risiken erheblich geringer. Die Analyse ergab, dass Entwickler im Rahmen großer Weiterbildungsinitiativen (über 7000 Entwickler in einem einzigen Unternehmen) Schwachstellen vorhersehbar um 47–53 % reduzieren können.
Secure-By-Design gewinnt weltweit an Dynamik – während Länder ähnliche Richtlinien in ihre umfassenderen Cybersicherheitsstrategien einbinden. Sichere Standardeinstellungen für Entwickler bereitzustellen und eine Belegschaft von Softwareentwicklern zu fördern, die sich mit Sicherheit auskennt, wird jedoch ohne die richtigen Datenpunkte zur Information eines Benchmarks für Entwicklerfähigkeiten nur schwer zu erreichen sein. Ein Programm zur agilen Weiterbildung kann bei Entwicklern Anklang finden, wenn es auf etablierten Grundlinien aufbaut und praktische Sitzungen umfasst, die sich mit realen Problemen befassen, mit denen Entwickler konfrontiert sind.
„In einer Zeit beispielloser globaler Cyber-Bedrohungen zeigen diese neuen Erkenntnisse, dass es notwendig ist, SBD-Initiativen in unserer gesamten digitalen Infrastruktur zu verbessern, um kritische Schwachstellen zu reduzieren“, sagte Kemba Walden, Präsident des Paladin Global Institute und ehemaliger amtierender National Cyber Director. „Diese Studie ist ein klarer Aufruf zum Handeln, um das Personal weiterzubilden und Benchmarks zu schaffen, um kritische Cybersicherheitsziele zu erreichen.“
„Baselines und Benchmarks können die Sicherheitslage eines Unternehmens erheblich optimieren, indem sie sichere Programmierung zu einem wesentlichen Bestandteil seiner DNA machen“, sagte Matias Madou, Mitbegründer und CTO von Secure Code Warrior. „Um zu wissen, ob eine SBD-Initiative echte Fortschritte macht, braucht man quantitative Belege dafür, dass die Bemühungen zur Weiterbildung von Entwicklern wirksam sind und dass sie bewährte Sicherheitsverfahren in ihre Arbeitsgewohnheiten übernehmen. Man muss volles Vertrauen haben, dass Entwickler ihre Lizenz zum Programmieren wirklich verdient haben.“
Viele Sicherheitsverantwortliche weisen immer wieder auf die Schwierigkeit hin, die meisten Elemente eines Unternehmenssicherheitsprogramms zu skalieren, insbesondere diejenigen, die eine kontinuierliche Weiterbildung und Bewertung des einzelnen Personals beinhalten. Dies ist ein berechtigtes Anliegen, das jedoch im Zuge mehrerer globaler Gesetzesreformen und Richtlinien, die von Entwicklern nachgewiesene Sicherheitskenntnisse verlangen, überwunden werden muss. Viele Organisationen auf der ganzen Welt ergreifen Maßnahmen und haben groß angelegte Weiterbildungsinitiativen umgesetzt, die eine erhebliche Wirkung zeigen.
Um mehr über die neueste Analyse von Secure Code Warrior und den SCW-Vertrauenswert zu erfahren, klicken Sie hier.
Über Secure Code Warrior:
Secure Code Warrior ist eine sichere Programmierplattform, die Standards setzt, um unsere digitale Welt zu schützen. Wir tun dies, indem wir die weltweit führende agile Lernplattform bereitstellen, die Entwicklern die effektivste Lösung für sicheres Programmieren bietet, um Softwaresicherheitsprinzipien zu erlernen, anzuwenden und zu behalten. Mehr als 600 Unternehmen vertrauen Secure Code Warrior bei der Umsetzung agiler Lernsicherheitsprogramme und stellen sicher, dass die von ihnen veröffentlichten Anwendungen frei von Schwachstellen sind.
Weitere Informationen über Secure Code Warrior finden Sie unter www.securecodewarrior.com.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20241015181860/de/