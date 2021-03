Im Secure Code Warrior-Bericht wurde festgestellt, dass eine Verschiebung im Anwendungssicherheitsansatz weg von der Reaktion und hin zur Prävention stattfindet, während Entwickler zur Verantwortung gezogen werden

Eine neue Untersuchung des globalen Coding-Unternehmens Secure Code Warrior hat einen Wandel der Haltung in der Software-Entwicklungsbranche ergeben. Organisationen widersetzen sich demnach den traditionellen Praktiken für DevOps und Secure DevOps.

In der globalen Umfrage von Fachentwicklern und ihren Managern wurde herausgefunden, dass sieben von zehn Organisationen (70%) die Bedeutung von Secure-Coding-Praktiken anerkennen, wobei die Ergebnisse darauf hindeuten, dass ein branchenweiter Wandel weg von der Reaktion und hin zu mehr Prävention stattfindet.

Dr. Matias Madou, Chief Technology Officer und Mitbegründer von Secure Code Warrior, sagte: "Wir sehen ein grundlegendes Umdenken in der ganzen Welt, wobei sich die Branche langsam von reaktiven Pflasterlösungen, die nach einer Verletzung eingesetzt werden, hin zu einer proaktiven und von Menschen geführten Praktik einer Software von Schreibqualität bewegt, die im Wesentlichen gleich ab dem ersten Tastenanschlag frei von Schwachstellen ist.

"Diese Untersuchung zeigt, dass in der Softwareentwicklung ‚Secure Code' zum Synonym für ‚Quality Code' wird und die Sicherheit immer häufiger in die Zuständigkeit von Entwicklungsteams und Führungskräften und nicht nur von AppSec-Fachkräften fällt", sagte er.

Secure Coding wird als ‚reaktiv' betrachtet

Reaktive Praktiken wie der Einsatz von Tools auf entwickelten Anwendungen und die manuelle Prüfung auf Schwächen zählten zu den zwei wichtigsten Praktiken, die die Befragten mit Secure Coding in Verbindung setzten. Es wurde jedoch ein proaktives Umdenken in der ganzen Welt festgestellt: Mehr als die Hälfte (55%) der befragten Entwickler sahen Secure Coding auch als die aktive laufende Praktik für das Schreiben von Software, die vor Schwachstellen geschützt ist.

Manager und Entwickler sind sich uneinig

Über die Hälfte (55%) der befragten Manager gab an, dass Secure Coding eingesetzt werde und im gesamten Entwicklungsprozess integriert sei, im Gegensatz zu nur 43% der Entwickler. Umgekehrt berücksichtigen 36% der Entwickler das Secure Coding während der Entwicklung, jedoch nicht in der Designphase, im Gegensatz zu weniger als einem Drittel (32%) der Manager.

Der sichere Code ist ein zunehmender Erfolgsindikator

Während die Befragten ‚Anwendungsperformance' und ‚Funktionalität und Features' als die gängigsten Erfolgsfaktoren bei der Softwareentwicklung angaben (67% bzw. 62%), erklärten vier von fünf (79%) der Befragten, dass die Bedeutung des ‚sicheren Codes' immer größer würde.

Umdenken bei der Anwendungssicherheit

Fast die Hälfte der Umfrageteilnehmer (46%) sagte aus, dass Entwicklungsführungskräfte und -teams für die Anwendungssicherheit verantwortlich sein sollten und nicht die AppSec-Teams (24%). Mehr als acht von zehn (81%) befragten Entwicklern gaben an, sie würden für einen erzeugten schwachen Code zur Verantwortung gezogen werden.

Entwickler sind motiviert, sich fortzubilden

‚Erhöhte Produktivität und Effizienz', ‚Neugier' und ‚Probleme vermeiden, die durch unsichere Codes verursacht werden' waren die Hauptmotivatoren, um Secure Coding zu erlernen (jeweils 20%, 14% und 11%). Obwohl nur 10% der Befragten das Vorrücken auf der Karriereleiter als persönliche Motivation angaben, würden vier von fünf (81%) Managern eher eine Person mit Secure-Coding-Fähigkeiten einstellen.

Bedarf nach mehr Schulungen

91% der befragten Manager gaben an, dass sie bei der Implementierung von Secure-Coding-Praktiken in ihren Organisationen überdurchschnittlichen Schwierigkeiten begegnen würden, obgleich die überwältigende Mehrheit der Befragten (97%) glaubt, sie sei ausreichend geschult. Dies ist vielleicht darauf zurückzuführen, dass fast neun von zehn (88%) befragten Entwicklern angaben, Secure Coding sei anspruchsvoll.

Madou fügte hinzu: "Vor dem Hintergrund der OWASP Top 10 Softwareschwachstellen, die in den letzten zwei Jahrzehnten mehr Sicherheitsverletzungen verursacht haben als alle anderen, ist es nun an der Zeit, dass Unternehmen Entwickler fortbilden, damit sie das Wissen und die Fähigkeiten erlangen, die notwendig sind, um unsichere Codes auszumerzen und zu verhindern, dass Probleme überhaupt erst auftreten.

"Der Code steht im Mittelpunkt der täglichen Interaktionen und Secure Code Warrior konzentriert sich auf sein Engagement für Sicherheitsfachentwickler, die beeindruckende, sichere Software für unsere vernetzte Welt schaffen können

Für einen frühen Zugriff auf den Bericht ‚Shifting from reaction to prevention: The changing face of application security 2021' registrieren Sie sich bei Interesse unter scw.buzz/earlyaccess

Methodologie

Secure Code Warrior hat die Evans Data Corporation, einen führenden Anbieter für Marktwissen in der IT-Branche, damit beauftragt, eine globale Umfrage von Entwicklern und Entscheidungsträgern durchzuführen, die aktiv an der Softwareentwicklung beteiligt sind. Im August 2020 wurden 400 Personen in ganz Nordamerika, Indien, dem Vereinigten Königreich, Europa, Australien, Neuseeland und Südostasien befragt.

