- Es gibt organisatorische Barrieren zwischen Security- und Entwickler-Teams. Einige Entwickler gaben in der Befragung an, dass sie ihre Security-Teams nicht einmal kennen. 90 Prozent der Security-Mitarbeiter antworteten, dass es schwieriger geworden ist, Anwendungssicherheit zu integrieren seit ihr Unternehmen DevOps einsetzt.
- Entwicklern fehlt es an Sicherheitsbewusstsein und -Trainings. Von mehr als 100 Stellenausschreibungen für Softwareentwickler bei Fortune-1000-Unternehmen verlangte keine entsprechende Security-Erfahrung.
- In Unternehmen gibt es einen Mangel an Anwendungssicherheits-Experten. Auf jeden 80. Entwickler kommt in den untersuchten Firmen ein Anwendungssicherheits-Experte.
- Die Verantwortung für Security muss von mehreren Organisationen gemeinsam getragen werden. Security muss in jede Phase des Entwicklungsprozesses eingebettet sein, unterstützt durch das Management und entsprechende Zielvorgaben. Diese sollten sich auf Mean-Time-To-Triage (MTTT), Mean-Time-To-Fix (MTTF) sowie Programm-Compliance konzentrieren.
- Der Mangel an Security-Bewusstsein und -Kompetenz kann überwunden werden, wenn man es Entwicklern einfach macht, sichere Entwicklung einzuüben. Firmen sollten Security-Werkzeuge, wie „HPE Fortify Security Assistant“, in das Entwicklungsökosystem integrieren. Damit können Entwickler, während sie ihre Codes schreiben, Schwachstellen in Echtzeit finden und beseitigen. Das macht sichere Entwicklung einfach und effizient – und bildet den Entwickler währenddessen in sicherer Programmierung aus.
- Firmen sollten automatisierte Lösungen für Anwendungssicherheit einsetzen, die über Analytics-Funktionen verfügen – etwa „HPE Fortify Scan Analytics“, das mit maschinellem Lernen arbeitet. So können sie die Prüfung der Anwendungssicherheits-Tests automatisieren und ermöglichen ihren Sicherheitsexperten, sich nur auf die größten Risiken zu konzentrieren. Dadurch wird die Zahl der Sicherheitsrisiken reduziert, die manuell untersucht werden müssen. (mh)