SEC11-BP01 Für Anwendungssicherheit schulen - Säule der Sicherheit
ImplementierungsleitfadenRessourcen

SEC11-BP01 Für Anwendungssicherheit schulen

Schulen Sie Ihr Team in Bezug auf Praktiken für die sichere Entwicklung und Ausführung, um die Entwicklung sicherer und qualitativ hochwertiger Software zu fördern. Diese Vorgehensweise hilft Ihrem Team, Sicherheitsprobleme früher im Entwicklungszyklus zu verhindern, zu erkennen und zu beheben. Ziehen Sie Schulungen zu den Themen Bedrohungsmodellierung, sichere Programmierpraktiken und Nutzung von Services für sichere Konfigurationen und Abläufe in Betracht. Bieten Sie Ihrem Team Zugang zu Schulungen über Self-Service-Ressourcen und holen Sie regelmäßig Feedback ein, um kontinuierlich Verbesserungen vorzunehmen.

Gewünschtes Ergebnis: Sie vermitteln Ihrem Team die erforderlichen Kenntnisse und Fähigkeiten, um Software von Anfang an unter dem Aspekt der Sicherheit zu entwerfen und zu entwickeln. Durch Schulungen zu Bedrohungsmodellierung und sicheren Entwicklungspraktiken verfügt Ihr Team über fundierte Kenntnisse potenzieller Sicherheitsrisiken und weiß, wie diese Risiken während des Softwareentwicklungszyklus gemindert werden können. Dieser proaktive Sicherheitsansatz ist Teil Ihrer Teamkultur und versetzt Sie in die Lage, potenzielle Sicherheitsprobleme frühzeitig zu erkennen und zu beheben. Ihr Team kann somit qualitativ hochwertige, sichere Software und Features effizienter bereitstellen, wodurch die Bereitstellung insgesamt beschleunigt werden kann. In Ihrer Organisation besteht eine auf Zusammenarbeit und Einbeziehung beruhende Sicherheitskultur, wobei alle Entwickler gemeinsam für die Sicherheit verantwortlich sind.

Typische Anti-Muster:

  • Sie warten bis zu einer Sicherheitsüberprüfung und berücksichtigen erst dann die Sicherheitseigenschaften eines Systems.

  • Sie überlassen alle sicherheitsbezogenen Entscheidungen einem zentralen Sicherheitsteam.

  • Sie kommunizieren nicht, wie die im Softwareentwicklungszyklus getroffenen Entscheidungen mit den allgemeinen Sicherheitserwartungen- oder -richtlinien der Organisation im Zusammenhang stehen.

  • Sie führen die Sicherheitsüberprüfung zu spät durch.

Vorteile der Nutzung dieser bewährten Methode:

  • Bessere Kenntnis der Unternehmensanforderungen hinsichtlich der Sicherheit frühzeitig im Entwicklungszyklus

  • Schnellere Auslieferung von Funktionen durch schnelles Identifizieren und Lösen potenzieller Sicherheitsprobleme

  • Verbesserte Qualität von Software und Systemen

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel

Implementierungsleitfaden

Um sichere und qualitativ hochwertige Software zu entwickeln, sollten Sie Ihr Team in Bezug auf gängige Praktiken für die sichere Entwicklung und Ausführung von Anwendungen schulen. Diese Vorgehensweise hilft Ihrem Team, Sicherheitsprobleme früher im Entwicklungszyklus zu verhindern, zu erkennen und zu beheben. So kann eine schnellere Bereitstellung erfolgen.

Um dieses Ziel zu erreichen, sollten Sie Ihr Team mithilfe von AWS-Ressourcen wie dem Workshop zur Bedrohungsmodellierung in der Bedrohungsmodellierung schulen. Die Bedrohungsmodellierung kann Ihrem Team helfen, potenzielle Sicherheitsrisiken zu verstehen und Systeme von Anfang an mit Blick auf die Sicherheit zu entwerfen. Darüber hinaus können Sie Zugang zu Schulungen von AWS Training and Certification, Branchenschulungen oder Schulungen von AWS-Partnern zum Thema „Sichere Entwicklungspraktiken“ bieten. Weitere Informationen zu einem umfassenden Ansatz für Design, Entwicklung, Sicherung und effizienten Betrieb in großem Maßstab finden Sie in der AWS-DevOps-Anleitung.

Definieren und kommunizieren Sie den Prozess der Sicherheitsüberprüfung in Ihrer Organisation klar und deutlich und legen Sie die Verantwortlichkeiten Ihres Teams, des Sicherheitsteams und anderer Stakeholder fest. Veröffentlichen Sie Self-Service-Anleitungen, Codebeispiele und Vorlagen zur Erfüllung Ihrer Sicherheitsanforderungen. Sie können AWS-Services wie AWS CloudFormation, AWS Cloud Development Kit (AWS CDK) (AWS CDK)-Konstrukte und Service Catalog verwenden, um vorab genehmigte, sichere Konfigurationen bereitzustellen und die Notwendigkeit benutzerdefinierter Setups zu verringern.

Holen Sie regelmäßig Feedback von Ihrem Team zu seiner Erfahrung mit dem Prozess zur Sicherheitsüberprüfung und den Schulungen ein und verwenden Sie dieses Feedback, um kontinuierlich Verbesserungen zu implementieren. Führen Sie Gamedays oder Bug-Bash-Kampagnen durch, um Sicherheitsprobleme zu identifizieren und zu beheben und gleichzeitig die Fähigkeiten Ihres Teams zu verbessern.

Implementierungsschritte

  1. Ermittlung des Schulungsbedarfs: Beurteilen Sie anhand von Umfragen, Codeüberprüfungen oder Diskussionen mit Teammitgliedern den aktuellen Kenntnisstand und die Wissenslücken in Ihrem Team in Bezug auf sichere Entwicklungspraktiken.

  2. Planung der Schulung: Erstellen Sie auf der Grundlage des ermittelten Bedarfs einen Schulungsplan, der relevante Themen wie Bedrohungsmodellierung, sichere Programmierungspraktiken, Sicherheitstests und sichere Bereitstellungspraktiken umfasst. Nutzen Sie Ressourcen wie den Workshop zur Bedrohungsmodellierung, Schulungen von AWS Training and Certification, Branchenschulungen oder Schulungsprogramme von AWS-Partnern.

  3. Planung und Durchführung von Schulungen: Planen Sie regelmäßige Schulungen oder Workshops für Ihr Team. Hierbei kann es sich je nach Vorlieben des Teams und Verfügbarkeit um Schulungen mit Kursleiter oder um Schulungen zum Selbststudium handeln. Ermutigen Sie zu praktischen Übungen und zur Nutzung von praktischen Beispielen, um das Lernen zu vertiefen.

  4. Definition eines Prozesses zur Sicherheitsüberprüfung: Legen Sie in Zusammenarbeit mit Ihrem Sicherheitsteam und anderen Stakeholdern den Prozess zur Sicherheitsüberprüfung für Ihre Anwendungen klar fest. Dokumentieren Sie die Verantwortlichkeiten aller am Prozess beteiligten Teams oder Einzelpersonen, einschließlich Ihres Entwicklungsteams, Ihres Sicherheitsteams und anderer relevanter Stakeholder.

  5. Erstellen von Self-Service-Ressourcen: Entwickeln Sie Self-Service-Anleitungen, Codebeispiele und Vorlagen, die zeigen, wie die Sicherheitsanforderungen Ihrer Organisation erfüllt werden können. Ziehen Sie die Verwendung von AWS-Services wie CloudFormation, AWS CDK-Konstrukten und Service Catalog in Betracht, um vorab genehmigte, sichere Konfigurationen bereitzustellen und die Notwendigkeit benutzerdefinierter Setups zu verringern.

  6. Kommunikation und Kontaktpflege: Informieren Sie Ihr Team auf effektive Weise über den Prozess zur Sicherheitsüberprüfung und die verfügbaren Self-Service-Ressourcen. Führen Sie Schulungen oder Workshops durch, um die Teammitglieder mit diesen Ressourcen vertraut zu machen, und vergewissern Sie sich, dass sie über die richtige Handhabung der Ressourcen Bescheid wissen.

  7. Einholung von Feedback und Verbesserungen Holen Sie regelmäßig Feedback von Ihrem Team zu seiner Erfahrung mit dem Prozess zur Sicherheitsüberprüfung und den Schulungen ein. Nutzen Sie dieses Feedback, um Bereiche mit Verbesserungspotenzial zu identifizieren und die Schulungsmaterialien, Self-Service-Ressourcen sowie den Prozess zur Sicherheitsüberprüfung kontinuierlich zu verbessern.

  8. Durchführung von Sicherheitsübungen: Organisieren Sie Gamedays oder Bug-Bash-Kampagnen, um Sicherheitsprobleme in Ihren Anwendungen zu identifizieren und zu beheben. Diese Übungen helfen nicht nur dabei, potenzielle Schwachstellen aufzudecken, sondern bieten Ihrem Team auch die Möglichkeit, praktische Erfahrungen zu sammeln und so seine Fähigkeiten in Bezug auf die sichere Entwicklung und Ausführung zu verbessern.

  9. Weiteres Lernen und weitere Verbesserungen: Ermutigen Sie Ihr Team, sich über die neuesten Methoden, Tools und Techniken für die sichere Entwicklung auf dem Laufenden zu halten. Überprüfen und aktualisieren Sie Ihre Schulungsmaterialien und Ressourcen regelmäßig, um der sich weiterentwickelnden Sicherheitslandschaft und Änderungen in Bezug auf bewährte Methoden Rechnung zu tragen.

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Zugehörige Beispiele:

Zugehörige Services: