:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/6e/456e267b716932fdb332be968e593118/0110255660.jpeg "Das britische Königshaus schützt seine Kronjuwelen – die Schätze der englischen Monarchie, die aus mehr als 100 Objekten mit einem geschätzten Wert in Milliardenhöhe bestehen – mit weltweit erstklassigen Sicherheitssystemen, darunter zwei Tonnen schwere Stahltüren und bombensicheres Glas. (Symbolbild:tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
„Next Generation runC“ für eigene Container nutzen :quality(80)/p7i.vogel.de/wcms/2e/d9/2ed91d40782848e566b17756be9d0be0/0109334017.jpeg "Autoscaling steht im Gegensatz zum klassischen Hosting, für welches ein festgelegtes Leistungskontingent gebucht wird. (Bild: <a href=https://unsplash.com/de/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/dc/e1/dce1c2250d49f0b6068cfd98483a94ae/0109808486.jpeg "Auf dem Radar: Frost&Sullivan untersucht Cloud Native Application Protection Platforms (CNAPP). (Bild: frei lizenziert: OpenClipart-Vectors)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/99/66/99664bb4deaa0658bb63829dc519ce37/0109263207.jpeg "Kein Ansatz für sich allein genommen eignet sich perfekt zur Produktivitätsmessung. Doch es stehen Optionen bereit, die sich den Anforderungen nähern können. (Bild: <a href=https://pixabay.com/users/tumisu-148124/>Tumisu</a>)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/e3/de/e3de24c10c696d41a2d2533020b59380/0109751159.jpeg "Vor dem Einsatz eines API-Typs sollte man die verfügbaren Ressourcen analysieren und die Anforderung der Anwendung genau definieren. (Bild: © vector_v - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/98/6e/986e5cd88216694a387f05aa50bfdb02/0110358940.jpeg "„So lösen Legacy-Systemen mit High-Performance Low-Code ab“, ein Interview von Oliver Schonschek, Insider Research, mit Lars Klein von S&D Software und Patrick Knapp von OutSystems. (Bild: Vogel IT-Medien / OutSystems / S&D Software / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/a6/e1/a6e15b9f1a94c153e82d548c3dd90e61/0109476138.jpeg "Die Portabilität und Interoperabilität von Container-Technologien sind die wichtigsten Kernziele der Open-Container-Initiative. (Bild: <a href=https://www.pexels.com/@dibert/>David Dibert</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Was zeitgemäße Secure-Coding-Trainings ausmacht So schärfen Entwickler ihre Skills
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
Wer sicher coden will, braucht Best Practices und aktuelles Wissen. Letzteres eignen sich Entwickler zwar gern an, betrachten Schulungsprogramme jedoch häufig auch als störende Unterbrechung der eigentlichen Arbeit. Wie interaktive Trainings und Gamifizierung hier Abhilfe schaffen können, erläutert Efrat Yahav, Customer Success Manager bei Checkmarx.
Sicherheitsrelevante Schwachstellen in Software sind kein Schönheitsfehler, sondern können Unternehmen massiv schädigen. Entwickler müssen also alles in ihrer Macht Stehende tun – und all ihre Fähigkeiten und Kenntnisse in die Waagschale werfen –, um sichere Produkte zu entwickeln. Dazu gehört es auch, dass sie das Recht haben müssen, unsichere Releases zu stoppen und auf sicherheitsrelevante Schwachstellen bestehender Anwendungen hinzuweisen, sobald sie darauf stoßen. Sollten sie das Gefühl haben, dass es ihnen an den erforderlichen Skills und Qualifizierungen fehlt, um dies zu leisten, muss ihnen das Unternehmen die Möglichkeit bieten, diese Kenntnisse zu erwerben – in der Regel bei Trainings und Schulungen.
Das Angebot an Schulungen und Plattformen im Bereich Secure-Coding ist riesig, und reicht vom klassischen Frontalunterricht über langwierige Online-Präsentationen bis hin zu interaktiven, in den Alltag der Entwickler eingebetteten Secure-Coding-Turnieren. Sich in diesem breiten Angebot zurechtzufinden, ist auf den ersten Blick alles andere als einfach. Folgende fünf Aspekte gilt es bei der Auswahl und Implementierung eines zeitgemäßen Application-Security- und Awareness-Programms zu berücksichtigen...
1. Vermeiden Sie Frontalunterricht und langweilige Online-Trainings
Wer im Zuge von Compliance-Prüfungen bereits an einem obligatorischen Online-Security-Training teilnehmen musste, weiß, wie zeitraubend und monoton diese Kurse manchmal sind. Häufig müssen die Teilnehmer lediglich eine Präsentation nach der anderen durcharbeiten. Anschließend gilt es, eine Reihe von Multiple-Choice-Fragen zu beantworten – die aber alle nur darauf ausgelegt sind, die Teilnehmer in die Irre zu führen, statt tatsächlich den Wissensstand zu testen.
2. Setzen Sie auf kompakte und interaktive Sessions
Solche Trainings, bei denen es nur darum geht, Checklisten abzuhaken, sind nicht nur nutzlos, sondern auch gefährlich. Aber wissen wir, wie es besser geht? Ja: Mit kompakten, leicht verdaulichen und interaktiven Sessions statt langwieriger und langweiliger Sitzungen. So erzielen die Teilnehmer immer wieder kleine Erfolge, die sich zu einem großen und nachhaltigen Fortschritt aufsummieren. Statt etwa eine endlose Liste von Folien zum Thema XSS durchzuarbeiten, sollten Sie Ihrem Team innerhalb der Entwicklungsumgebung kleine Herausforderungen stellen, die an praktischen Beispielen zeigen, wie man sich vor XSS-Schwachstellen schützt. So macht das Lernen und Dranbleiben Spaß, und die Lektionen bleiben dauerhaft hängen.
:quality(80)/images.vogel.de/vogelonline/bdb/1374600/1374629/original.jpg "Cross Site Scripting (XSS) ist eine häufig verwendete Angriffsmethode im Internet, bei der Schadcode in eine vermeintlich vertrauenswürdige Webseite eingeschleust wird. (Pixabay)")
Definition Cross Site Scripting (XSS)
Was ist Cross-Site-Scripting (XSS)?
3. Nutzen Sie die Möglichkeiten der Gamifizierung
Als Gamifizierung bezeichnet man die Anwendung von Game-Design-Elementen und Gaming-Prinzipien außerhalb des Kontexts eines Spiels. Die Vorteile von gamifizierten Trainings sind bekannt: Es ist erwiesen, dass wir besser lernen und länger aufnahmefähig bleiben, wenn wir beim Lernen Spaß haben, einer cleveren Geschichte folgen und eine aktive Rolle einnehmen. Da Entwickler die meiste Zeit ihres Tages vor einem Bildschirm verbringen und auf Codezeilen gucken, schätzen sie solche lockeren und spielerischen Trainings weitaus mehr als langweilige Lektionen. Und die Gamifizierung eignet sich ja auch sehr gut für spannende Cybersecurity-Simulationen, etwa von Szenarien, bei denen Angreifer Schwachstellen ausnutzen und Verteidiger die Lücken schließen müssen.
4. Vermitteln Sie Wissen stets kontextbasiert
Klassischer Frontalunterricht ist aber nicht nur deswegen ineffizient, weil es an spielerischen Elementen fehlt. Es fehlt auch an Kontext: Sobald Sie Ihre Devs aus der Entwicklungsumgebung reißen, durchbrechen Sie die täglichen Abläufe und machen es ihnen schwer, sich konkrete Probleme ins Gedächtnis zu rufen. Der Input sollte deshalb stets da bereitgestellt werden, wo er gebraucht wird: beim Coden. Im Idealfall sollte die Training-Plattform den Entwickler während des Programmierens automatisch auf sicherheitsrelevante Fehler hinweisen, diese in einer kurzen, spielerischen Trainingseinheit erläutern und dann praktische Tipps für die Behebung liefern.
5. Behalten Sie Ihre AppSec-Awareness-Kennzahlen im Blick!
Wenn Sie in AppSec- und Awareness-Trainings investieren, müssen Sie auch jederzeit darüber im Bilde sein, ob sich dieses Investment auszahlt – und ob das Risikopotenzial im Bereich Software-Security auch tatsächlich abnimmt. Um eine kontinuierliche Verbesserung sicherzustellen, gilt es dabei, die Fortschritte Ihrer Entwicklungsteams genau zu dokumentieren und die AppSec-Awareness immer wieder neu zu bewerten. So wissen Sie jederzeit, ob und in welchen Bereichen die Entwickler noch weitere Trainings benötigen, können Fortschritte tracken und dem Management gegenüber dokumentieren und Wiederholungsfehler vermeiden.
Fazit
Security wird mehr und mehr zum integralen und automatisierten Bestandteil der Software-Entwicklung, und die Application-Security-Experten vieler Unternehmen arbeiten heute eng mit den Entwicklungsabteilungen zusammen, um die eigenen Anwendungen sicherer zu machen. Dabei mag es mitunter noch Diskussionen darüber geben, wer in welchem Teilbereich für die Application-Security verantwortlich ist. Im Kern wissen die Entwickler, die App-Sec-Experten und die DevOps-Verantwortlichen aber alle, dass Sicherheit letztlich ein Gemeinschaftsprojekt ist, das nur dann erfolgreich sein wird, wenn alle Beteiligten an einem Strang ziehen. Dazu gehört es auch, über den gesamten SDLC hinweg die Einhaltung von Secure-Coding-Practices sicherzustellen – und zeitgemäße spielerische und kontextbasierte Trainingsansätzen sind ein guter Weg, um die Weichen dafür zu stellen.
Über den Autor: Efrat Yahav ist Customer Success Manager bei Checkmarx.
(ID:47473718)
:quality(80)/images.vogel.de/vogelonline/bdb/1894500/1894598/original.jpg "Die Checkmarx Application Security Platform scannt alle relevanten Anwendungsteile – vom Code über Open-Source-Komponenten bis hin zu Code-gesteuerten Infrastruktur. (TheDigitalArtist)")
:quality(80)/images.vogel.de/vogelonline/bdb/1877500/1877505/original.jpg "Open-Source-Entwickler freuten sich darüber, wenn Sicherheitsforscher neben Schwachstellen-Reports auch Gegenmaßnahmen lieferten. (GitHub)")