86 % der Entwickler betrachten die Anwendungssicherheit nicht als oberste Priorität

Nur 29 % der Entwickler glauben, dass das Schreiben von Schwachstellen-freiem Code priorisiert werden sollte

Secure Code Warrior, der globale, entwicklerorientierte Sicherheitsführer, veröffentlichte Ergebnisse seiner jährlichen Umfrage „The State of Developer-Driven Security“ 2022, die ergab, dass die Handlungen und Einstellungen der Entwickler in Bezug auf Softwaresicherheit im Widerspruch stehen. Während viele Entwickler die Bedeutung eines sicherheitsorientierten Ansatzes im Softwareentwicklungslebenszyklus anerkennen, betrachten 86 % die Anwendungssicherheit beim Schreiben von Code nicht als oberste Priorität.

Die Untersuchung ergab, dass mehr als die Hälfte der 1200 befragten Entwickler nicht in der Lage sind, sicherzustellen, dass ihr Code vor sieben häufigen Schwachstellen geschützt ist. Dies ist ein Faktor, der zu einer weiteren wichtigen Erkenntnis beiträgt – dass nur 29 % der Entwickler der Meinung sind, dass das aktive Schreiben von Code ohne Sicherheitslücken priorisiert werden sollte.

Obwohl Entwickler und Organisationen erkannt haben, dass Bedrohungen und Schwachstellen in Schlüsselanwendungen früher im Entwicklungsprozess hätten gemildert werden können, ergreifen sie weiterhin reaktive Schritte, um die Fehler zu beheben. Secure Code Warrior führte diese Umfrage fort, um zu bewerten, wie Entwickler proaktivere Schritte unternehmen und in die Lage versetzt werden können, effektive sichere Codierungspraktiken einzuführen.

Entwickler sehen sich weiterhin konkurrierenden Prioritäten gegenüber und verweisen auf zahlreiche verwaltungsbezogene Barrieren, die sie daran hindern, sicheren Code früher im Softwareentwicklungslebenszyklus zu erstellen. Diese sind in erster Linie auf zeitliche Einschränkungen zurückzuführen, um Fristen einzuhalten (24 %), oder auf Entwickler, die nicht genügend Schulungen oder Anleitungen zur Implementierung sicherer Codierung von ihren Managern erhalten (20 %).

Schulungen haben nach wie vor einen großen Einfluss auf die Anwendung sicherer Codierung durch Entwickler, da 81 % das durch Schulungen erworbene Wissen fast täglich nutzen. Obwohl viele Entwickler täglich Schulungsmechanismen nutzen, ergab die Studie, dass 67 % immer noch wissentlich Schwachstellen in ihrem Code ausliefern. Die Ergebnisse zeigen, dass unterschiedliche Trainingserfahrungen heute mehr denn je benötigt werden. Einer von vier Entwicklern wünscht sich mehr Schulungen, die von Multimedia im eigenen Tempo geleitet werden, und jeder fünfte glaubt, dass die Schulungen als stark verbessert wahrgenommen würden, wenn eine Branchenzertifizierung das Ergebnis wäre.

„Entwickler wollen das Richtige tun, und während sie anfangen, sich mehr um Sicherheit zu kümmern, macht es ihnen ihre Arbeitsumgebung nicht immer leicht, dies zu einer Priorität zu machen. Häufig führen die ihnen zur Verfügung stehenden Tools – und Methoden, die sie einsetzen – dazu, dass sie „durchkommen“, anstatt das Risiko aktiv zu reduzieren, und ihre Prioritäten bleiben falsch mit dem Sicherheitsteam abgestimmt“, sagte Pieter Danhieux, Mitbegründer und CEO von Secure Code Krieger.

„Während Organisationen sichere Codierungspraktiken fördern, sind Entwickler unklar, wie sie in ihrer täglichen Arbeit definiert werden und was von ihnen erwartet wird. Um einen höheren Codequalitätsstandard zu erreichen, müssen Organisationen sichere Codierungsstandards formalisieren, wie sie für Entwickler gelten, und eine Verhaltensänderung anleiten, die gute Codierungsmuster verstärkt und Sicherheit in Geschwindigkeit ermöglicht.“

Die zusätzlichen Ergebnisse der jährlichen Umfrage weisen auf die anhaltenden Schwierigkeiten hin, mit denen Entwickler auf ihrem Weg zum sicheren Programmieren konfrontiert sind:

36 % führen die Priorität der Einhaltung von Fristen als Hauptgrund dafür an, dass ihr Code immer noch Schwachstellen aufweist. 33 % wissen nicht, was ihren Code angreifbar macht. 30 % sind der Meinung, dass ihr internes Sicherheitstraining am meisten verbessert werden könnte, wenn es mehr praktisches Training mit Real gäbe Weltweite Szenarien und Ergebnisse 30 % geben an, dass die größte Sorge bei der Implementierung und Praxis sicherer Codierung der Umgang mit Schwachstellen ist, die von Kollegen eingeführt wurden

Erhebungsmethodik: Die Umfrage „State of Developer-Driven Security“ 2022 basiert auf den Antworten von 1.200 Entwicklern im asiatisch-pazifischen Raum, Europa und Nordamerika. Die Umfrage wurde im Dezember 2021 durchgeführt.

Über Secure Code Warrior

Secure Code Warrior baut eine Kultur sicherheitsorientierter Entwickler auf, indem es ihnen die Fähigkeiten vermittelt, sicher zu programmieren. Unsere Flaggschiff-Lernplattform bietet relevante, auf Fähigkeiten basierende Pfade, praktische Missionen und kontextbezogene Tools für Entwickler, um ihre Fähigkeiten schnell zu erlernen, aufzubauen und anzuwenden, um sicheren Code mit hoher Geschwindigkeit zu schreiben. Secure Code Warrior wurde 2015 gegründet und ist zu einer wichtigen Komponente für über 450 Unternehmen geworden, darunter führende Finanzdienstleistungs-, Einzelhandels- und globale Technologieunternehmen auf der ganzen Welt.