コンプライアンスを超える:Secure Code Warrior 、Netskopeの開発者はどのようにしてクラウドソリューションを大規模にコーディングできるようになったのか。
コンプライアンスを超える:Secure Code Warrior 、Netskopeの開発者はどのようにしてクラウドソリューションを大規模にコーディングできるようになったのか。
.png)
背景
SASEのグローバルリーダーであるNetskopeは、組織がゼロトラスト原則とAI/MLイノベーションを適用してデータを保護し、サイバー脅威から防御するのを支援します。迅速で使いやすいNetskopeプラットフォームは、人、デバイス、データがどこにいても最適化されたアクセスとリアルタイムのセキュリティを提供します。Netskopeは、お客様がリスクを削減し、パフォーマンスを加速し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティに比類のない可視性を得ることを支援します。Netskopeとその強力なNewEdgeネットワークは、進化する脅威、新たなリスク、テクノロジーのシフト、組織やネットワークの変更、新たな規制要件に対応するために、何千ものお客様から信頼を得ています。
状況
クラウドコンピューティングとA.I.の技術革新のスピードは、ソフトウェア開発ライフサイクルを大幅に加速させている。Netskopeの副CISOであるジェームス・ロビンソンは、ほんの一握りの言語のセキュア開発に関するビデオでコンプライアンス目標を満たすという開発者向けトレーニングのやり方は、今日の市場では持続可能ではないことを認識していました。Netskopeの開発者が新しい言語や技術に対応し、かつセキュリティのスキルを維持し続けるには、その急速な普及と組織内の急速な変化という課題がありました。
Netskopeは、開発者が受ける言語とカバレッジを広げるために、より多くのカスタム接続を作成しようとしましたが、エンゲージメントはまだ非常に低く、すぐにトレーニングは生産性に挑戦し始めました。ジェームズは、より実践的な学習アプローチを通じて、開発者がこのテーマに熱中できるようなアプローチに変えたいと考えていました。
アクション
毎年行われるトレーニングや、その場限りのトレーニングでは、コードスキャナーのようなインフラストラクチャや、Netskope の CI や CD のセキュリティステップに統合できる様々な SAST ツールを総合的に扱うことはできませんでした。Netskope は、開発者のセキュリティへの参加を、分析とテストのプロセスに統合できるようにする必要がありました。これにより、コンプライアンス要件を補足する安全な開発教育のベースラインが提供された。
左シフト
Netskopeが "シフト・レフト "について議論し始めたとき、それは疑問を投げかけた。どこまでシフトする必要があるのか?リーダーシップは、社内で「セルフサービス・アダプション」という名称に変更する決断を下した。これは原則的に、開発者がセキュアなコード教育について積極的に行動できるようにすることだった。と協働することで Secure Code Warriorと連携することで、開発者が未検証のソリューションに迷い込むことがないよう、セキュリティに関するコンテンツを可視化し、開発者がアクセスできるようにするプログラムを構築した。
行動力と価値
からのカスタマイズ可能なコンテンツと無数の実践的な学習アクティビティは、セキュリティ・チームと開発者チームがよりオープンで生産的な会話をする場を提供した。 Secure Code Warriorによって、セキュリティチームと開発者チームの間で、よりオープンで生産的な会話ができるようになりました。開発者は、単にコンプライアンスを達成するだけでなく、その価値を認識するようになり、セキュリティにより深く関与し、興味を持つようになった。また、重大な脆弱性や繰り返し発生する脆弱性に注目し、プログラムを補完する教育コンテンツをさらに作成する機会も広がった。
結果
プログラムを展開した後、Netskopeは開発者からのフィードバックを熱心に収集し、彼らがプラットフォームから最大の価値を得ていることを確認しました。その結果は圧倒的にポジティブなものでした。
ネットスコープの副CISOであるジェームス・ロビンソンによれば、次のようになる:
私たちの開発者チームは、Secure Code Warriorのプラットフォームのおかげで、より魅力的なセルフサービスの学習アプローチを採用し、学習経路をより早く開発者の手に届けることで、左遷に成功しました。さらに重要なことに、私たちは次のようにより良い投資効果を得ていると感じています。 投資収益率なぜなら、参加者が増え、これらの取り組みが、もはやチェック・ザ・ボックスのような、コンプライアンスに義務付けられた活動だとは感じられなくなったからです。この副産物として、開発者がセキュリティ・チャンピオンになれるようになりました」。
要点
- 強力なアプリケーション・セキュリティ・チームに投資 しない組織は、コードを通じてより多くのリスクを導入することを許して しまう。その結果、脆弱性を修正し、セキュリティ問題に対処するための時間とコストが浪費される。
- コンプライアンス重視の1年に1回の1時間のトレーニングではなく、関連するコンテンツを通じて毎月2、3回のキー・ラーニングを行うだけで、時間の節約につながるプログラムを活用しよう。 開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
- クラウド・ソリューションを大規模にコーディングすることが新たに求められている。 数年前までは、開発者が1つのプログラミング言語を通じてコードの安全性を確保することに全面的に投資することが期待されていた。今日のハイテク市場では、もはやそうではない。企業が構築し追求したいクラウド・インフラやアプリケーションに最適な複数の言語を選択する必要がある。
もっと詳しく知りたい方はこちら
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
コンプライアンスを超える:Secure Code Warrior 、Netskopeの開発者はどのようにしてクラウドソリューションを大規模にコーディングできるようになったのか。
背景
SASEのグローバルリーダーであるNetskopeは、組織がゼロトラスト原則とAI/MLイノベーションを適用してデータを保護し、サイバー脅威から防御するのを支援します。迅速で使いやすいNetskopeプラットフォームは、人、デバイス、データがどこにいても最適化されたアクセスとリアルタイムのセキュリティを提供します。Netskopeは、お客様がリスクを削減し、パフォーマンスを加速し、あらゆるクラウド、ウェブ、プライベートアプリケーションのアクティビティに比類のない可視性を得ることを支援します。Netskopeとその強力なNewEdgeネットワークは、進化する脅威、新たなリスク、テクノロジーのシフト、組織やネットワークの変更、新たな規制要件に対応するために、何千ものお客様から信頼を得ています。
状況
クラウドコンピューティングとA.I.の技術革新のスピードは、ソフトウェア開発ライフサイクルを大幅に加速させている。Netskopeの副CISOであるジェームス・ロビンソンは、ほんの一握りの言語のセキュア開発に関するビデオでコンプライアンス目標を満たすという開発者向けトレーニングのやり方は、今日の市場では持続可能ではないことを認識していました。Netskopeの開発者が新しい言語や技術に対応し、かつセキュリティのスキルを維持し続けるには、その急速な普及と組織内の急速な変化という課題がありました。
Netskopeは、開発者が受ける言語とカバレッジを広げるために、より多くのカスタム接続を作成しようとしましたが、エンゲージメントはまだ非常に低く、すぐにトレーニングは生産性に挑戦し始めました。ジェームズは、より実践的な学習アプローチを通じて、開発者がこのテーマに熱中できるようなアプローチに変えたいと考えていました。
アクション
毎年行われるトレーニングや、その場限りのトレーニングでは、コードスキャナーのようなインフラストラクチャや、Netskope の CI や CD のセキュリティステップに統合できる様々な SAST ツールを総合的に扱うことはできませんでした。Netskope は、開発者のセキュリティへの参加を、分析とテストのプロセスに統合できるようにする必要がありました。これにより、コンプライアンス要件を補足する安全な開発教育のベースラインが提供された。
左シフト
Netskopeが "シフト・レフト "について議論し始めたとき、それは疑問を投げかけた。どこまでシフトする必要があるのか?リーダーシップは、社内で「セルフサービス・アダプション」という名称に変更する決断を下した。これは原則的に、開発者がセキュアなコード教育について積極的に行動できるようにすることだった。と協働することで Secure Code Warriorと連携することで、開発者が未検証のソリューションに迷い込むことがないよう、セキュリティに関するコンテンツを可視化し、開発者がアクセスできるようにするプログラムを構築した。
行動力と価値
からのカスタマイズ可能なコンテンツと無数の実践的な学習アクティビティは、セキュリティ・チームと開発者チームがよりオープンで生産的な会話をする場を提供した。 Secure Code Warriorによって、セキュリティチームと開発者チームの間で、よりオープンで生産的な会話ができるようになりました。開発者は、単にコンプライアンスを達成するだけでなく、その価値を認識するようになり、セキュリティにより深く関与し、興味を持つようになった。また、重大な脆弱性や繰り返し発生する脆弱性に注目し、プログラムを補完する教育コンテンツをさらに作成する機会も広がった。
結果
プログラムを展開した後、Netskopeは開発者からのフィードバックを熱心に収集し、彼らがプラットフォームから最大の価値を得ていることを確認しました。その結果は圧倒的にポジティブなものでした。
ネットスコープの副CISOであるジェームス・ロビンソンによれば、次のようになる:
私たちの開発者チームは、Secure Code Warriorのプラットフォームのおかげで、より魅力的なセルフサービスの学習アプローチを採用し、学習経路をより早く開発者の手に届けることで、左遷に成功しました。さらに重要なことに、私たちは次のようにより良い投資効果を得ていると感じています。 投資収益率なぜなら、参加者が増え、これらの取り組みが、もはやチェック・ザ・ボックスのような、コンプライアンスに義務付けられた活動だとは感じられなくなったからです。この副産物として、開発者がセキュリティ・チャンピオンになれるようになりました」。
要点
- 強力なアプリケーション・セキュリティ・チームに投資 しない組織は、コードを通じてより多くのリスクを導入することを許して しまう。その結果、脆弱性を修正し、セキュリティ問題に対処するための時間とコストが浪費される。
- コンプライアンス重視の1年に1回の1時間のトレーニングではなく、関連するコンテンツを通じて毎月2、3回のキー・ラーニングを行うだけで、時間の節約につながるプログラムを活用しよう。 開発者を教育することによって節約された時間は、そもそも導入されるべきではなかった脆弱性を修正するために必要な手戻りを減らすという形で現れる。
- クラウド・ソリューションを大規模にコーディングすることが新たに求められている。 数年前までは、開発者が1つのプログラミング言語を通じてコードの安全性を確保することに全面的に投資することが期待されていた。今日のハイテク市場では、もはやそうではない。企業が構築し追求したいクラウド・インフラやアプリケーションに最適な複数の言語を選択する必要がある。
