Developer Security Training

Das SANS Institute, weltweit führend im Bereich Cybersicherheitsschulungen und -zertifizierungen, hat das SANS Developer Security Training  gestartet. Dabei handelt es sich um ein skalierbares, immersives Lernprogramm. Entwickler lernen wie sie von Anfang an sicheren Code schreiben, die Tool-Müdigkeit reduzieren und die steigenden Compliance-Anforderungen erfüllen.

Trotz der weit verbreiteten Einführung von Tools wie SAST, DAST und SCA veröffentlichen die meisten Unternehmen weiterhin Software mit bekannten Schwachstellen. Branchendaten zeigen, dass die Fehlalarmquote von Applikation Security Scannern oft 70 bis 90 Prozent übersteigt. Entwickler zwingt dies dazu Zeit mit der Suche nach Phantomfehlern zu verschwenden, während kritische Probleme übersehen werden.

„Sicherheitstools sind unverzichtbar, aber sie können nicht das beheben, was Entwickler selbst nicht wissen“, sagt Jeremy Schweitzer, Senior Product Manager beim SANS Institute. „Die wirkliche Veränderung findet statt, wenn Entwickler in die Lage versetzt werden, Schwachstellen zu verhindern, bevor sie entstehen. Genau darauf ist diese Schulung ausgerichtet.“

Die Schulung basiert auf realen Codebasen und ist auf Compliance-Frameworks wie OWASP Top 10 und NIST Secure Software Development Framework (SSDF) abgestimmt. Sie kombiniert kurze, immersive Labore mit rollenspezifischen Inhalten, die sich nahtlos in agile Workflows einfügen. Jedes Modul dauert weniger als 30 Minuten und wird über LMS bereitgestellt, was eine unternehmensweite Nachverfolgung und auditfähige Berichterstellung ermöglicht.

Warum das wichtig ist:

• False-positive Fatigue: Sicherheitsscanner überschwemmen Teams mit Warnmeldungen. Die SANS-Schulung hilft Entwicklern, besser zu triagieren und von Anfang an sichereren Code zu schreiben.
• Compliance-Druck: Frameworks wie NIST SSDF und PCI DSS erfordern Schulungen zur sicheren Entwicklung. Dieses Programm liefert abgestimmte, auditierbare Ergebnisse.
• Auswirkungen in der Praxis: Die Labs verwenden Tools wie Burp Suite und VS Code in Sandbox-VMs, um die Umgebungen nachzubilden, in denen Schwachstellen tatsächlich auftreten.

„Entwickler üben das Beheben echter Fehler mit denselben Tools, auf die sie sich täglich verlassen“, erklärt Schweitzer. „Diese praktische Erfahrung fördert nicht nur das Bewusstsein, sondern auch das Urteilsvermögen – genau das, was Teams brauchen, um Sicherheit „Shift Left“ zu verlagern.“

Die Schulung ist in mehreren Sprachen verfügbar und richtet sich sowohl an Junior- als auch an Senior-Entwickler. Unternehmen können das Programm mit einer kostenlosen 7-Tage-Demo kennenlernen, sodass Sicherheits- und Technikverantwortliche die Eignung, Wirksamkeit und Compliance-Bereitschaft bewerten können.

Begleitend zur Einführung hat das SANS Institute außerdem ein neues Secure Development Playbook

intern veröffentlicht, das Führungskräften dabei helfen soll, sicheres Codieren in umfassendere AppSec- und DevOps-Strategien zu integrieren.

„Investitionen in die Fähigkeiten von Entwicklern sind nicht mehr optional. Sie sind das fehlende Puzzlestück in den meisten Sicherheitsprogrammen“, fügt Schweitzer hinzu. „Mit dieser Einführung bieten wir Unternehmen eine praktische, skalierbare Möglichkeit, eine Sicherheitskultur aufzubauen, ohne die Innovation zu bremsen.