ArtikelSecurity

Mehr Schutz und Sicherheit durch Sicherheitstraining in Echtzeit

Eine Antwort auf diese Herausforderung sind Sicherheitsschulungen in Echtzeit. So können Entwickler das Versprechen der „Linksverschiebung“ einlösen. Mit dieser Art von Schulung können sie Sicherheitslücken erkennen und beheben, sobald sie auftreten, Sicherheitsprobleme proaktiv vorbeugen und Verantwortliche für die Sicherheit innerhalb ihrer Teams benennen. Unternehmen übertragen Entwicklern dennoch immer wieder zusätzliche Aufgaben in diesem Bereich, ohne dass sie vorher gelernt haben, wie sie auf Sicherheitswarnungen reagieren sollen.

Quelle: Photo by John Schnobrich on Unsplash

Dabei sind die meisten Entwickler keine Sicherheitsexperten. Selbst erfahrene Software-Ingenieure haben nicht die Zeit, sich in diese umfangreiche Thematik einzuarbeiten. Wichtig sind relevante Informationen, die sofort da sind, wenn sie ein bestimmtes Sicherheitsproblem verstehen müssen. Softwareentwicklungsplattformen müssen daher ständig aktuelle, kontextspezifische Sicherheitsschulungen in Echtzeit anbieten. Integrierte Sicherheitsschulungen sind der beste Weg, um sicherzustellen, dass die Entwickler in Echtzeit informiert werden, sodass sich die bereits überlasteten Sicherheitsteams nicht um die anstehende Aufgabe kümmern müssen. Das Besondere bei diesen Schulungen ist, dass sie nicht viel Zeit beanspruchen und ganz spezifische Informationen liefern, im Gegensatz zu Trainings, die mehrere Tage dauern und nur in großen Zeitabständen erfolgen.

Diese Qualifikationen sind indes nur selten Bestandteil von Studiengängen oder Coding Bootcamps. Zwar verlangen die meisten Unternehmen von Softwareentwicklern, dass sie jährliche Sicherheitsschulungen absolvieren. Die Workshops bestehen aber in der Regel aus einer Präsentation oder einem allgemeinen Video über Software-Schwachstellen und Probleme. Diese Art der Schulung führt selten zu einem sinnvollen Verständnis des Inhalts. Außerdem vergeht zu viel Zeit zwischen dem Lernen und der Anwendung dieses Wissens, was die Wahrscheinlichkeit verringert, dass das Gelernte nachhaltig verinnerlicht und behalten wird.

Inhaltlich gestärkte Entwickler treiben die Sicherheit voran

Frühere Generationen von Softwareentwicklern haben hauptsächlich mit Büchern und akademischen Kursen gelernt. Jüngere Generationen sind da anders: sie eignen sich Wissen mit Hilfe von Online-Ressourcen wie Blogs, Videos und Bootcamps an. Eine Umfrage von Stack Overflow ergab, dass fast 60 Prozent der befragten Entwickler das Programmieren über Online-Ressourcen erlernen. Die Plattformen, die wir für die Softwareentwicklung nutzen, müssen sich daher an diese neue Art des Lernens anpassen.

Entwickler stehen unter dem Druck, Code effizient zu liefern. Anstatt sie mit langen, mühsamen Schulungen zu belasten, sollten sie kleine, mundgerechte Programmieraufgaben erhalten. Gezielt bauen sie mit kontextgerechten Lektionen praktische Qualifikationen auf. Dadurch verkürzt sich die Zeitspanne zwischen dem Erlernen der neuen Fertigkeiten und deren Umsetzung in die Praxis. Das frische Wissen prägt sich so besser ein. So kommen sie dem Ziel, Sicherheitsprobleme bereits während des Programmierens zu erkennen, viel näher. Und: Sie verringern die Zahl der Schwachstellen zu Beginn des Entwicklungszyklus.

Unternehmen sollten dringend einen Workflow einführen, der es Entwicklern ermöglicht, Schwachstellen schneller und früher im Prozess zu beheben. Denn umso schneller können sie sicheren Code liefern und gleichzeitig die Qualität ihrer Software-Releases verbessern. Erfolgt die Schulung für sicheres Coding im Rahmen des DevOps-Workflows, automatisiert und skaliert dies die Unterstützung für Entwickler bei der Fehlerbehebung. Gleichzeitig können sich Sicherheitsteams darauf konzentrieren, proaktiv Risiken zu verringern und die Sicherheitslage des Unternehmens zu stärken. Dies ist das wahre Potenzial der Linksverschiebung bei der Sicherheit.