{"id":23028,"date":"2023-03-27T11:04:00","date_gmt":"2023-03-27T09:04:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=23028"},"modified":"2023-03-20T08:50:58","modified_gmt":"2023-03-20T07:50:58","slug":"mehr-schutz-und-sicherheit-durch-sicherheitstraining-in-echtzeit","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=23028","title":{"rendered":"Mehr Schutz und Sicherheit durch Sicherheitstraining in Echtzeit"},"content":{"rendered":"\n

Autor\/Redakteur: Joern Schneeweisz, Staff Security Engineer im GitLab Security Research Team<\/a>\/gg<\/p>\n\n\n\n

Das Scannen und Weiterleiten von Schwachstellen an \u00fcberlastete Sicherheitsteams erf\u00fcllt nicht wirklich das Versprechen des \u201eShift Left-Ansatzes\u201c. Dadurch wird das Problem nur verlagert.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: GitLab Security Research Team<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Spektakul\u00e4re Hacker-Attacken, aber auch die aktuellen Recherche-Ergebnisse von Cyber-Sicherheits-Experten zur Anf\u00e4lligkeit von Software in der Automobilindustrie<\/a> zeigen:  Anwendungssicherheit bleibt ein Top-Thema. Handlungsbedarf besteht mehr denn je, um gef\u00e4hrliche Sicherheitsverletzungen und aufsehenerregende Ransomware-Angriffe einzud\u00e4mmen.<\/p>\n\n\n\n

Viele propagieren dabei als geeigneten L\u00f6sungsweg den „Shift left“-Ansatz. Der bedeutet zumeist, Tools, die normalerweise von Sicherheitsexperten verwendet werden, in die H\u00e4nde von Entwicklern zu geben. Der Grundgedanke dahinter ist, dass Entwickler Schwachstellen erkennen und beheben k\u00f6nnen, bevor sie in die Produktion gelangen, wenn sie zu einem fr\u00fchen Zeitpunkt im Entwicklungsprozess aufgesp\u00fcrt werden. \u00dcberlastete Sicherheitsteams m\u00fcssen nicht mehr auf diese Schwachstellen reagieren. Sie haben mehr Zeit f\u00fcr strategische, proaktive Sicherheitsarbeit.<\/p>\n\n\n\n

Soweit die Theorie. In der Praxis ist es aber oft so, dass Entwickler zwar die vorgeschriebenen Sicherheitstools einsetzen, aber weder \u00fcber das Wissen noch den Support verf\u00fcgen, um alle Probleme selbst zu beheben. Am Ende des Tages k\u00fcmmern sich dann doch die Sicherheitsteams um die Gef\u00e4hrdungen. Wenn Schwachstellen gescannt und dann doch an die viel besch\u00e4ftigten Sicherheitsteams weitergereicht werden, wird das Versprechen von Shift-Left nicht eingel\u00f6st, sondern das Problem lediglich verlagert.<\/p>\n\n\n\n

Mangelnde Sicherheitskompetenzen<\/strong><\/p>\n\n\n\n

Remote-Entwicklung wird dieses Jahr weiter zunehmen. Deswegen wird die Sicherheit der Software-Lieferkette im gesamten Softwareentwicklungszyklus noch wichtiger werden. Die Verantwortung f\u00fcr Sicherheit und Compliance wird sich bis hin zu den in Produktion befindlichen Anwendungen erstrecken und den anhaltenden Trend zur Sicherheit als unternehmensweite Aufgabe verst\u00e4rken.<\/p>\n\n\n\n

Die Ergebnisse der DevSecOps-Umfrage 2022<\/a> von GitLab best\u00e4tigen dies: 53 Prozent der Befragten aus den Bereichen Entwicklung, Sicherheit und Betrieb gaben an, dass jeder f\u00fcr die Sicherheit verantwortlich sei. Sicherheits- und Compliance-Funktionen wachsen immer mehr zusammen und werden im Laufe des Jahres im Wesentlichen zu einem Synonym werden.<\/p>\n\n\n\n

Entwicklungsteams stehen also vor einer enormen Erwartungshaltung in Bezug auf die Sicherheit. F\u00fcr Entwickler ist es jedoch frustrierend, wenn sie keine Anleitung zur L\u00f6sung von Problemen erhalten, die durch Sicherheits-Scans aufgedeckt wurden, oder keine Erkl\u00e4rung zu deren m\u00f6glichen Auswirkungen. Es besteht sogar die Gefahr, dass die Entwickler die Ergebnisse ignorieren, um den Code schneller auszuliefern. Am Ende des Tages m\u00fcssen die AppSec-Teams wieder ran. Dies kann zu Spannungen innerhalb des Teams und zu einer l\u00e4ngeren Freigabezeit f\u00fchren.<\/p>\n\n\n\n\n\n\n\n

Eine Antwort auf diese Herausforderung sind Sicherheitsschulungen in Echtzeit. So k\u00f6nnen Entwickler das Versprechen der \u201eLinksverschiebung\u201c einl\u00f6sen. Mit dieser Art von Schulung k\u00f6nnen sie Sicherheitsl\u00fccken erkennen und beheben, sobald sie auftreten, Sicherheitsprobleme proaktiv vorbeugen und Verantwortliche f\u00fcr die Sicherheit innerhalb ihrer Teams benennen. Unternehmen \u00fcbertragen Entwicklern dennoch immer wieder zus\u00e4tzliche Aufgaben in diesem Bereich, ohne dass sie vorher gelernt haben, wie sie auf Sicherheitswarnungen reagieren sollen.<\/p>\n\n\n\n

\"\"<\/a>
Quelle: Photo by John Schnobrich on Unsplash<\/figcaption><\/figure>\n\n\n\n

Dabei sind die meisten Entwickler keine Sicherheitsexperten. Selbst erfahrene Software-Ingenieure haben nicht die Zeit, sich in diese umfangreiche Thematik einzuarbeiten. Wichtig sind relevante Informationen, die sofort da sind, wenn sie ein bestimmtes Sicherheitsproblem verstehen m\u00fcssen. Softwareentwicklungsplattformen m\u00fcssen daher st\u00e4ndig aktuelle, kontextspezifische Sicherheitsschulungen in Echtzeit anbieten. Integrierte Sicherheitsschulungen sind der beste Weg, um sicherzustellen, dass die Entwickler in Echtzeit informiert werden, sodass sich die bereits \u00fcberlasteten Sicherheitsteams nicht um die anstehende Aufgabe k\u00fcmmern m\u00fcssen. Das Besondere bei diesen Schulungen ist, dass sie nicht viel Zeit beanspruchen und ganz spezifische Informationen liefern, im Gegensatz zu Trainings, die mehrere Tage dauern und nur in gro\u00dfen Zeitabst\u00e4nden erfolgen.<\/p>\n\n\n\n

Diese Qualifikationen sind indes nur selten Bestandteil von Studieng\u00e4ngen oder Coding Bootcamps. Zwar verlangen die meisten Unternehmen von Softwareentwicklern, dass sie j\u00e4hrliche Sicherheitsschulungen absolvieren. Die Workshops bestehen aber in der Regel aus einer Pr\u00e4sentation oder einem allgemeinen Video \u00fcber Software-Schwachstellen und Probleme. Diese Art der Schulung f\u00fchrt selten zu einem sinnvollen Verst\u00e4ndnis des Inhalts. Au\u00dferdem vergeht zu viel Zeit zwischen dem Lernen und der Anwendung dieses Wissens, was die Wahrscheinlichkeit verringert, dass das Gelernte nachhaltig verinnerlicht und behalten wird.<\/p>\n\n\n\n

Inhaltlich gest\u00e4rkte Entwickler treiben die Sicherheit voran<\/strong><\/p>\n\n\n\n

Fr\u00fchere Generationen von Softwareentwicklern haben haupts\u00e4chlich mit B\u00fcchern und akademischen Kursen gelernt. J\u00fcngere Generationen sind da anders: sie eignen sich Wissen mit Hilfe von Online-Ressourcen wie Blogs, Videos und Bootcamps an. Eine Umfrage von Stack Overflow<\/a> ergab, dass fast 60 Prozent der befragten Entwickler das Programmieren \u00fcber Online-Ressourcen erlernen. Die Plattformen, die wir f\u00fcr die Softwareentwicklung nutzen, m\u00fcssen sich daher an diese neue Art des Lernens anpassen.<\/p>\n\n\n\n

Entwickler stehen unter dem Druck, Code effizient zu liefern. Anstatt sie mit langen, m\u00fchsamen Schulungen zu belasten, sollten sie kleine, mundgerechte Programmieraufgaben erhalten. Gezielt bauen sie mit kontextgerechten Lektionen praktische Qualifikationen auf. Dadurch verk\u00fcrzt sich die Zeitspanne zwischen dem Erlernen der neuen Fertigkeiten und deren Umsetzung in die Praxis. Das frische Wissen pr\u00e4gt sich so besser ein. So kommen sie dem Ziel, Sicherheitsprobleme bereits w\u00e4hrend des Programmierens zu erkennen, viel n\u00e4her. Und: Sie verringern die Zahl der Schwachstellen zu Beginn des Entwicklungszyklus.<\/p>\n\n\n\n

Unternehmen sollten dringend einen Workflow einf\u00fchren, der es Entwicklern erm\u00f6glicht, Schwachstellen schneller und fr\u00fcher im Prozess zu beheben. Denn umso schneller k\u00f6nnen sie sicheren Code liefern und gleichzeitig die Qualit\u00e4t ihrer Software-Releases verbessern. Erfolgt die Schulung f\u00fcr sicheres Coding im Rahmen des DevOps-Workflows, automatisiert und skaliert dies die Unterst\u00fctzung f\u00fcr Entwickler bei der Fehlerbehebung. Gleichzeitig k\u00f6nnen sich Sicherheitsteams darauf konzentrieren, proaktiv Risiken zu verringern und die Sicherheitslage des Unternehmens zu st\u00e4rken. Dies ist das wahre Potenzial der Linksverschiebung bei der Sicherheit.<\/p>\n","protected":false},"excerpt":{"rendered":"

Das Scannen und Weiterleiten von Schwachstellen an \u00fcberlastete Sicherheitsteams erf\u00fcllt nicht wirklich das Versprechen des \u201eShift Left-Ansatzes\u201c. Dadurch wird das Problem nur verlagert.<\/p>\n","protected":false},"author":1,"featured_media":23030,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[17128,6264,17127,17129,1569],"class_list":["post-23028","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-boot-camp","tag-entwicklung","tag-gitlab-security-research","tag-shift-left","tag-training"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23028","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=23028"}],"version-history":[{"count":2,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23028\/revisions"}],"predecessor-version":[{"id":23085,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/23028\/revisions\/23085"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/23030"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=23028"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=23028"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=23028"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}