The Dept. of Know Live!: Ellen Körbes über die Diskrepanz zwischen guter Security und glücklichen Entwicklern
Es ist kein Geheimnis, dass die Beziehung zwischen den Geschäftsbereichen Security und Entwicklung oft konfliktgeladen ist. Von Entwicklern wird erwartet, dass Code in Windeseile bereitgestellt wird, und Frustration macht sich breit, wenn eine Sicherheitsanforderung ein Projekt zum Erliegen bringt. Wie Omar im dritten Teil von The Dept. of Know Live! erläutert hat, implementieren Sicherheitsteams zudem neue Programme, ohne zu bedenken, welche Auswirkungen dies auf den Entwicklungsprozess hat.
Im Rahmen dieser Gesprächsreihe habe ich mich zusammen mit Kelly Shortridge und Bea Hughes darüber ausgetauscht, dass Entwickler in die Planung von Security nicht angemessen einbezogen werden und wie ein Schritt in die richtige Richtung aussehen könnte.
Hier finden Sie eine Aufzeichnung des Gesprächs. Die wichtigsten Punkte habe ich im Folgenden für Sie zusammengefasst.
1. Zeigen Sie echtes Interesse an den Prioritäten von Entwicklern
Sicherheitsteams sollten ihre Beziehung zu Developern mit einer gesunden Portion Neugier angehen. Wenn Sie feststellen, dass Entwickler gegen bestimmte Richtlinien verstoßen, überlegen Sie sich, warum dies geschieht. Lässt sich ein Muster erkennen, ist das wahrscheinlich darauf zurückzuführen, dass ihre Workflows gestört werden. Um erfolgreich zu sein, sollten Sicherheitsteams die Belange von Entwicklern berücksichtigen und deren Prioritäten zumindest ein Stück weit zu verstehen versuchen. Beziehen Sie diese Prioritäten also in Ihre Planung mit ein, anstatt zu erwarten, dass Developer ihre Workflows und Zeitpläne an die von Security angleichen.
2. Jeder Context-Wechsel ist im Kern teuer
Eine Metrik, die Sicherheitsteams bei der Implementierung neuer Sicherheitsanforderungen abwägen sollten, ist der Aufwand, der sich bei Context-Wechseln für Entwickler ergibt. Heutzutage sind Entwickler für Unmengen an Code verantwortlich, Tendenz steigend. Deshalb gilt es, „Nebenbuhler“ so gut wie möglich zu vermeiden. Da jeder Context-Wechsel mit hohen Kosten verbunden ist, ist die ideale Anzahl an Context-Wechseln gleich null. Developer sollten nur in Ausnahmefällen aufgrund einer Sicherheitsanforderung beim Coding unterbrochen und aus der Entwicklerumgebung gerissen werden. Verlangen Sie also nur in dringenden Fällen, dass Entwickler den Context wechseln, und behandeln Sie jeden Context-Wechsel mit größtem Respekt.
3. Lassen Sie sich auf die Idee ein, unsichtbar zu werden
Die dringend erforderliche Anzahl an erzwungenen Umgebungswechseln zu reduzieren bedeutet, sich auf die Idee einzulassen, dass Infrastruktur in den Hintergrund rücken darf. Eine Entwicklerumgebung ist eine Liveumgebung, daher brauchen wir integrierte Sicherheitstools, die Code bereits bei der Eingabe überwachen und die Umgebung auch bei einem Wechsel schützen. Automatisieren Sie, wo immer Sie können. Schlussendlich streben Entwickler danach, sich nicht mit Security auseinandersetzen zu müssen. Glauben Sie mir, ich selbst verstehe nur zu gut, dass Sicherheitsexperten das nicht hören wollen. Es klingt nämlich immer so, als könne man auf sie verzichten. Dennoch ist es wichtig zu verstehen, dass ein „Unsichtbarwerden“ ein tiefes Einfühlungsvermögen und Verständnis dafür voraussetzt, was der Mensch auf der anderen Seite zu erreichen versucht. In anderen Worten: Wenn ein Körper gesund ist, setzt man sich nicht ständig mit ihm auseinander – man lebt einfach sein Leben.
Zusammenfassung
Sicherheits- und Entwicklerteams mögen zwar zuweilen konkurrierende Interessen haben, aber was sie vereint ist, dass beide am Erfolg ihres Unternehmens interessiert sind. Sicherheitsteams sind gut damit beraten, Neugier, Empathie und die Bereitschaft an den Tag zu legen, die Workflows der Entwickler zu priorisieren, um gemeinsame Ziele zu erreichen und nicht als „Abteilung der Neinsager“ abgestempelt zu werden.
Sehen Sie sich unser komplettes Gespräch on demand an und schalten Sie am 31. März 2022 um 12:00 Uhr PDT ein, wenn Daniel Miessler, Gründer von Unsupervised Learning und Head of Vulnerability Management and AppSec bei einem großen Finanzdienstleistungsunternehmen, bei The Dept. of Know Live! darüber spricht, warum wir die Bedeutung von Asset-Management für die Cybersicherheit nicht außen vor lassen sollten.