ピーテル・ダンヒユー

オーストラリア政府はどのようにして国家的なサイバーセキュリティの回復力を構築し、脅威に立ち向かうことができるのでしょうか。

オーストラリア政府がサイバーセキュリティに本腰を入れて取り組んでいることからも、国家レベルで重要なリスク分野として認識されていることは明らかですが、彼らの戦略は十分に行き届いているのでしょうか。

左にシフトするだけでは不十分。左から始めることがソフトウェア・セキュリティ・エクセレンスへの鍵となる理由

左へのシフト」、つまり開発プロセスのより早い段階でセキュリティを導入するという取り組みの多くは、単に針を大きく動かすだけのものではありません。

認証されたセキュリティ意識。開発者の地位向上のための大統領令

米国連邦政府の最新の大統領令は、機能的なサイバーセキュリティの多くの側面に触れていますが、今回初めて、開発者の影響、および開発者が検証されたセキュリティスキルと意識を持つ必要性について具体的に説明しています。

NISTの新ガイドライン。安全なソフトウェアを作るためにカスタマイズされたトレーニングが必要な理由

米国国立標準技術研究所（NIST）は、ソフトウェアの脆弱性とサイバーリスクを低減するためのいくつかのアクションプランを詳述した最新のホワイトペーパーを発表しました。

成長の軌跡5歳の誕生日おめでとうございます。Secure Code Warrior

私はこの記事を、繁栄している超成長スタートアップを示すすべての事実と数字で始めることができました。それらは紛れもなく印象的であり、私たちの継続的な会社の軌道は力強いものです。しかし、私にとって、これらの数字は2019年に最も誇りに思うことを反映していません。

Secure Code Warrior の7年目にして、現実味を帯びてきました。

誕生日の節目には、仕事の成果を振り返り、チームを祝福し、自信を持って次の年に臨むための素晴らしい機会となります。しかし、設立から7年が経過した今、私は疑問を感じています。私たちはやり遂げたのだろうか？これはまだ本当の会社なのだろうか？もちろん、私たちは成熟していますが、創業時からの好奇心、情熱、そしてギークネスの感覚を失わないようにしたいと思っています。

開発者にインセンティブを与えることが、より良いセキュリティ対策の鍵となる

プロの開発者は、DevSecOpsを採用して安全なコードを書きたいと思っていますが、その取り組みを成長させたいのであれば、組織がこの変化をサポートする必要があります。

Secure Code Warrior 8ターン目：ロケットに乗り込む

今週、我々は正式に8周年を迎えます。Secure Code Warrior 。一方では、これはアポロ11号のミッションの350倍の長さであり、サッカーの45000試合分、あるいはスーパーマリオオデッセイの5696回分を最後までプレイしたのと同じです。一方、ゾウガメの寿命の30分の1（250年）です。高成長を続けるスタートアップの世界では、この数字は紆余曲折、教訓、達成の旅を意味し、その多くは事業計画を練った当初には想像もつかないものでした。

API on Wheels:危険な脆弱性のロードトリップ

APIセキュリティを放置しておくと、後々問題が発生し、最悪の場合、壊滅的な結果を招く可能性があり、最悪の場合、手直しやパフォーマンスの低下を招くことになります。

COVID-19のコンタクトトレーシング。安全なコーディングの状況は？

連絡先を追跡するアプリのアイデアは確かなものです。この技術がうまく機能すれば、ホットスポットを迅速に発見し、総合的な検査を行うことができます。これは、伝染性ウイルスの拡散に対抗するための重要な要素です。

ウェブアプリケーションのセキュリティ欠陥を引き起こす、忘れられた人的要因

なぜ安全なコードが重要なのか、安全でないコードがもたらす結果、そして最も重要なことは、そもそもそれぞれのプログラミングフレームワークにこのような脆弱性を書かないようにするにはどうしたらいいのか、ということを誰も教えてくれないのであれば、開発者はどうやって安全なコードを書けばいいのでしょうか？

コピー＆ペーストは危険なコーディングテクニック

この研究の意義は、これまで報告されていなかった非常に多くの憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります。

2019年、最も危険なソフトウェア・エラー：歴史が繰り返される証拠が続々登場

昨年末、MITREの素晴らしいコミュニティが、2019年に世界に影響を与えた「CWE Top 25 Most Dangerous Software Errors」のリストを発表しました。そして、そのほとんどが驚きのないものでした。

Secure Code Warrior - 3歳の誕生日おめでとうございます。

私たちのビジョンは、開発者が組織の最初の防衛線となるように、セキュリティを明確にし、最初から安全なコードを書くためのスキルとツールを提供することです。

好奇心旺盛なセキュリティマインドを罰するのではなく、サポートする必要がある理由

10代のセキュリティ研究者であるBill Demirkapi氏が、自分の学校で使用されているソフトウェアの重大な脆弱性を暴露したことは、いくつかの記憶を呼び起こしました。私は好奇心旺盛な子供だったので、ソフトウェアのフードを持ち上げてその下を覗き、すべてがどのように機能するのか、そしてそれを壊すことができるのかを確認したことを覚えています。

セキュリティスキルの不足をチャンスに変えるCISOもいる

開発者に最初から安全なコードを書くように権限を与えることは、CISOがセキュリティ上の苦境から積極的にコントロールする機会であり、セキュリティチームと開発チームの両方にとって、迅速かつ容易で測定可能な改善のチャンスでもあります。

左にシフトする

開発者がJavaScriptでコーディングしているときにクロスサイトスクリプティングエラーを書き、その欠陥を作ってから数分で検出できたとしたら

2021年のサイバーセキュリティを予測。銀河間の戦いが始まる

2021年は、銀河系をサイバーの脅威から守るという、新しいタイプの宇宙開発競争が主流になる年だと予測しています。

サイバー犯罪者がヘルスケアを攻撃している（しかし、私たちは反撃できる

医療問題を診断し、治療を行い、生命を維持するための機械を犯罪者が攻撃することで、医療は次の「大きな」サイバーセキュリティの戦場となる可能性があります。

DevSecOps：古いセキュリティ・バグが新しいトリックを実行している

サイバーセキュリティの世界では、私たちはしばしばハンターのような存在です。私たちの目は地平線にしっかりと釘付けになり、次にブレイクする脆弱性を探しています。しかし、このような前向きな姿勢は、意外にもセキュリティに対する意識を低下させてしまうことがあります。

OWASP AppSec Day 2019：安全な開発者を育成する

このような開発者向けのイベントは、カレンダーの中でも特に好きなものです。ソフトウェアエンジニアやスペシャリストを教育し、彼らの仕事にセキュリティを取り入れられるようにするために、たゆまぬ努力を続けているコミュニティの存在を、謙虚に感じさせてくれます。

The Change We Need In The AppSec Badlands:私の2019年の予測

私たちが直面している真の戦いは、スクリプトキディや危険な組織化されたサイバー犯罪シンジケートとの戦いではありません......より多くの人々にデータ漏洩が起こっていることを気にかけてもらうことです。

ソフトウェア・セキュリティは西部開拓時代にある（そして、それは私たちを殺すことになるだろう

デジタル化が進み、個人情報を共有するライフスタイルがもたらす現実的な危険性と同様に、ソフトウェアのセキュリティは常に私にとって最重要課題です。結局のところ、私たちはほとんど規制されておらず、監視されておらず、至って無視されている領域にいるのです。私たちは西部開拓時代にいるのです。

あなたのセキュリティプログラムは、インシデントレスポンスに重点を置いていますか？それは間違っています。

事後対応ではなく予防的なアプローチを重視することは、セキュリティチーム以外にはあまり理解されていないかもしれません。特に、大きな、悪い、セキュリティインシデントが発生していない場合はそうです。

サイバーセキュリティ・トレーニングと正の強化

改訂されたPCIセキュリティ基準協議会のガイドライン。左に大きくシフトしているか？

今年、PCI セキュリティ基準審議会は、PCI ソフトウェアセキュリティフレームワークの一環として、全く新しい ソフトウェアセキュリティガイドラインを発表しました。今回の更新は、ソフトウェアセキュリティのベストプラクティスを最新のソフトウェア開発に沿ったものにすることを目的としています。

メタバースにおける悪意。新たなフロンティアで既知のサイバー脅威と闘う

デジタル時代の寵児、メタバースの出現は、コードレベルの脆弱性とソーシャルエンジニアリングの両方において、膨大な新しい攻撃対象領域を追加することになりました。そして、私たちは、煙と鏡に覆われたこの新しい舞台での戦いに備えることができないのです。

あなたの開発者は、リスクと防御のどちらを優先しますか？セキュアコーディング・チェックリストで貴社を評価してください。

CIOがエンタープライズ・アジャイル能力を積極的に構築する中で、セキュア・コーディング・スキルはイノベーションの武器となり、それを持たないことは破壊の道具となります。

Huawei社のセキュリティ UKの問題は、安全なコーディングの必要性を示している

英国のHuawei Cyber Security Evaluation Centreが最近発表したレポートによると、ファーウェイのソフトウェアエンジニアリングプロセスの中に重大なセキュリティ問題があることが判明しました。しかし、これは修正可能な問題です。

APIを保護する。ミッション・インポッシブル？

APIセキュリティは難しいが、十分なトレーニング、計画、ベストプラクティスに焦点を当てれば、最も狡猾な脆弱性さえも緩和することができる。

静的対動的ダイナミックなサイバーセキュリティ・トレーニング。衝動的なコンプライアンス、将来の問題

規制に関する取り組みは、時間の経過とともに改善され、成長していくことは間違いありませんが、企業が今すぐパニックボタンを押してトレーニングに飛びついてしまうと、将来に備えて準備ができていないことになりかねません。

なぜDevOpsの導入は失敗することが多いのか（そしてどうすれば解決できるのか

DevOpsの導入で真に成功している企業は少ない。しかし、ビジネス全体での適切なサポート、育成、理解があれば、プロセスを変革することができます。

GitHubのユーザーが平文の痛みで身代金を要求される

今回のGitHubリポジトリへの攻撃は、セキュリティ業界でよく知られている問題を浮き彫りにしています。多くの開発者はセキュリティに対する意識が低く、貴重なデータがいつでも危険にさらされる可能性があります。

DevSecOpsに明るい未来はあるのか？それはあなたが思っているよりも近くにある

コードの脆弱性を発見するソリューションは数多くありますが、セキュリティでは、開発者がこのようなミスを未然に防ぐためのセキュリティガイドラインに従うことを教えることにもっと重点を置く必要があります。

政府のサプライチェーン・パイプラインに潜むサイバー脆弱性のベールを剥ぐ

サイバーセキュリティが重要であることは明らかですが、サプライチェーンの文脈では実際にどのような意味を持つのでしょうか。

DACHにおけるDevSecOps：セキュア・コーディング・パイロット・プログラムから得られた重要な知見

GDPRの導入に加えて、ドイツ連邦政府のサーバーだけでなく、多くの公人の機密データを流出させた複数段階の攻撃を受けて戦略を見直したことで、DACH地域のリーダーにとってサイバーセキュリティに対する意識と行動が最重要課題であることは明らかです。

より多くの違反、より多くの問題。サードパーティ製アプリへの信頼の代償

私たちは、セキュリティを企業の革新の道を阻む厄介な障害物と考えるのをやめなければなりません。

It takes a village:コミュニティの精神がより安全な開発者を生み出す

様々なタイプの開発者がいて、様々な職業の人がいて、すべてにおいてコミュニティの意識があります。

開発者は「セキュアコーディング」をどのように定義しているのでしょうか？

セキュアコーディングという行為を構成するものについての認識は、議論の余地があります。Evans Dataとの共同による最近の調査によると、この感情が白黒はっきりしました。The State of Developer-Driven Security 2022」調査は、1200人の現役開発者の重要な洞察と経験を掘り下げ、セキュリティ領域における彼らの姿勢と課題を明らかにしました。

ウィメン・イン・セキュリティスポットライト：ファテマ・ベイドゥーン

先日、当社カスタマーサクセス担当副社長のファテマ・ベイドゥーンが、「未来のためのメンタリング」というテーマで講演を行いました。と題した講演を行い、聴衆から大きな反響を得ました。彼女は、サイバーセキュリティ業界にポジティブな変化をもたらすために、不可欠な存在となっています。

教育現場で疑問視されている「徹底したセキュリティトレーニング

安全なコーディングは、高等教育機関におけるソフトウェアエンジニアリングの必須要素となる必要がありますが、一部の大学は、一流のトレーニングを提供し、開発プロセスの初期段階からセキュリティを優先させることで、先導的な役割を果たしています。

クリエイティブなCISOとCIOがセキュリティプログラムを革新し、変革する方法

創造的で刺激的なCISOとCIOは、革新的でデジタルな世界を形成する力を持っていますが、組織のセキュリティ文化を変革する上でも重要な役割を果たします。

The Great Global Patch」。VxWorksの欠陥により数百万台のデバイスが危険にさらされる

VxWorksは一般消費者にはあまり知られていませんが、このソフトウェア製品は、私やあなたのような多くの人々に日々恩恵を与えています。そして今、私たちは何億ものVxWorksを搭載したデバイスが危険にさらされている可能性に直面しています。

ゲーミフィケーションがソフトウェアセキュリティを向上させる鍵となる理由

私たちは、開発者にとってセキュリティが仕事をする上で欠かせないものになるように、会話を変える努力をしなければなりません。そのためには、ゲーミフィケーションなどを通じて、開発者にセキュリティに関する権限を与え、協力してもらうことが有効だと思います。

Six Years ofSecure Code Warrior: Are we grown up yet?

この時期になると（私たちにとっては）、太陽の周りを最近一周したことを振り返り、これまでの365日で何をしてきたかを考え、成長、教訓、そして避けられない予測不可能な新しい年に向けて準備をします。

Secure Code Warrior と Bugcrowd。セキュリティ・ギークの天国のような組み合わせ

公式に、私たちはBugcrowdと協力して、安全なコーディングについて開発者を教育し、力を与え、啓発する活動を行っています。

DeveloperTournaments: AppSec's Secret Weapon to Improve Security Culture and Engagement

そろそろ、セキュリティを見直すべきだと思いませんか？会話を変えるだけで、双方にとって、特に開発チームにとって、よりポジティブなものにすることができるのです。

この読心術師を見習って、セキュリティをもう一度楽しくしてみませんか？

C-suiteにサイバーセキュリティのトレーニングを行う場合でも、JAVAやC#の開発者にコーディングスキルの確保を支援する場合でも、創造性、ゲーミフィケーション、楽しさを追求する場所が必要です。

インターナショナル・ウーマン・イン・エンジニアリング・デースターたちの紹介

6月23日は、ギークカレンダーの中でも特別な日で、「International Women in Engineering Day」にあたります。ソフトウェア開発における女性の貢献に光を当てるチャンスです。

共感」「感謝」「謙虚さ」。私たちの文化の基盤

ソフトウェア・セキュリティ業界は、温かみのある感情や気まぐれな観察、人生の解説などで知られているわけではありませんが、年齢を重ねるにつれ、私たち全員が世界に与えることのできる影響について考えるようになりました。

採用プロセスを改善するためのビデオゲーム

サイバーセキュリティのベストプラクティスは、金融業界にあります。

サイバー攻撃が増加し、あらゆる業種のあらゆる組織に影響を与えている中、高額で恥ずかしい、そして最終的な利益に影響を与えるデータ漏洩の脅威は非常に現実的です。問題は小さくなるどころか、腫瘍のように大きくなっています。

サイバーセキュリティの未来。来るべき年に起きないこと

私たちの業界では、多くのセキュリティ専門家がその年に話題になる問題を予測し始めていますが、2019年には50億件以上の機密データ記録が盗まれていることから、当面の間、サイバーセキュリティで何が起こらないかを予測する方が正確だと考えました。

開発者向けセキュリティトレーニングを効果的に展開する方法：5つの重要な教訓

開発者向けセキュリティトレーニングを効果的に展開するための5つの重要な教訓

組織階層におけるソフトウェア再考

アプリやソフトウェアの責任を厳格な階層構造で定義し、最小限の権限でポリシーを実施することで、アプリやソフトウェアが脅威にさらされても生き残り、繁栄できるようにすることができるのです。

オープンソースソフトウェアのセキュリティ動員計画に向けて、私たちは十分に成熟しているのでしょうか？

オープンソースソフトウェアセキュリティ動員計画は、開発者主導のセキュリティにとって前向きな一歩を踏み出すものです。しかし、私たちは皆、自分の組織が十分に成熟しているかどうか、そして、開発チームが最新かつ最高の防御戦略を実行するために適切なレベルのセキュリティ意識とスキルを持っているかどうかを、率直に評価しなければなりません。

ベスト オブ ザ ブランチAppSecのリーダーたちが知恵を出し合う

Leaders in AppSecパネルは、組織のAppSec予算を最大限に活用する方法などの話題性のある問題を取り上げ、聴衆からのいくつかの難解な質問にも答えました。

Happy 4th BirthdaySecure Code Warrior, You Cheeky Little Toddler

娘や会社が大きくなればなるほど、スタートアップの旅と初めての親の旅には多くの共通点があることに気づきます。私はどちらも4年目に入りました。

すべての開発者が将来の雇用主に尋ねるべき100万ドルの質問

新入社員でもベテランでも、すべての開発者が問われるべき質問があります。そして、その答えが重要なのです。

サイバーセキュリティ業界の分析。繰り返される脆弱性を修正しなければならない

現代のサイバーセキュリティの猛威に対抗するための現実的なアドバイスや迅速な解決策は得られていないのが現状です。もちろん、それぞれの侵害はそれぞれの方法で異なりますし、脆弱なソフトウェアを悪用することができる攻撃手段は数多くあります。実現可能な一般的なアドバイスは限られていますが、ベスト・プラクティスのアプローチは、刻々と欠陥が増えています。

COBOLアプリケーション開発のセキュリティSecure Code Warrior

レガシーCOBOLは、古いコンピュータ言語ではありますが、現在でも有効です。COBOLによるセキュアなアプリケーション開発については、Secure Code Warrior をご覧ください。

漏洩したAPIは企業の評判を海に流してしまう恐れがある

APIセキュリティは、ほとんどのセキュリティ専門家にとって遠い存在ではなく、戦うための知識を身につけなければならない問題です。

PCI-DSS 4.0は思ったよりも早く登場し、組織のサイバー耐性を向上させる好機となります。

今年初め、PCIセキュリティ基準評議会はPayment Card Industry Data Security Standard（PCI DSS）のバージョン4.0を発表した。組織は2025年3月まで4.0に完全に準拠する必要はありませんが、このアップデートはこれまでで最も大きな変革であり、ほとんどの企業は複雑なセキュリティプロセスや技術スタックの要素を評価（およびおそらくアップグレード）する必要があります。これに加えて、役割ベースのセキュリティ意識向上トレーニングや、開発者向けのセキュアコーディング教育を定期的に実施する必要がある。

Pieter Danhieux, CEO and Co-Founder,Secure Code Warrior ：「誰もがサイバーセキュリティにおける役割を理解し、受け入れるべきである。

CyberNews Q&A with Pieter Danhieux, CEO & Co-Founder,Secure Code Warrior.

プロアクティブな保護：国家サイバーセキュリティ戦略を活用した高度な脅威対策

CISAの「国家サイバーセキュリティ戦略」は、ソフトウェアの標準を全面的に引き上げ、最終的にセキュリティに精通した開発者の新時代を切り開くための最良のチャンスである。

LLM：セキュアコーディングへの（イム）完璧な人間的アプローチ？

LLMスタイルのAI技術が、ソフトウェア開発だけでなく、仕事のさまざまな側面へのアプローチ方法を変えることは避けられないように見えるが、私たちは一歩引いて、見出しを超えたリスクを考慮しなければならない。そして、コーディングの仲間として、その欠点はおそらく最も「人間的」な属性なのだ。

セキュアコーディングのハードルを上げる：アジャイル学習を未来対応型企業に導入する

シリーズC資金調達ラウンドの終了を発表し、5,000万米ドルの資金を調達しました。 

公開：企業におけるアジャイル学習と開発者主導のセキュリティを高めるエキサイティングなパートナーシップ

シリーズC資金調達の発表から間もないですが、当社の新たなステップを発表できることを嬉しく思います。セキュリティ業界のリーダーであるシノプシスは、その製品群にエキサイティングな新機能を追加しました：シノプシス開発者セキュリティ・トレーニングは、Secure Code Warrior 。

あなたのセキュリティ・プログラムはCISAのサイバーセキュリティ戦略プランに対応していますか？

サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティにアプローチする方法に大きな変化を迫るものであり、開発者はこれらの新しい目標の達成を支援するユニークな立場にある。

9人の力：Secure Code Warrior、サイバーセキュリティにとってエキサイティングな時代に、そのレガシーを成長させる。

今日が私たちの9回目の誕生日であり、私たちの業績と、急速に変化し続けるサイバーセキュリティの世界における永続的な地位に対して、私は大きな誇りと感謝の念を抱き続けている。

LinuxにおけるXZ Utilsのバックドアは、より広範なサプライチェーンのセキュリティ問題を示唆している。

主要なLinuxディストリビューションで使用されているXZ Utilsデータ圧縮ライブラリに、脅威者によるバックドア経由で侵入された重大な脆弱性（CVE-2024-3094）が発見された。この深刻度の高い問題は、リモートでコードが実行される可能性があり、ソフトウェアのビルドプロセスに重大なリスクをもたらす。この欠陥は、Fedora RawhideのXZ Utilsの初期バージョン（5.6.0および5.6.1）に影響し、組織に対してパッチの適用を緊急に呼びかけています。この事故は、オープンソースソフトウェアの保守におけるコミュニティボランティアの重要な役割を強調し、ソフトウェア開発ライフサイクルにおけるセキュリティ対策とアクセス制御の強化の必要性を強調しています。

セキュリティ業界の女性たちが勝利している：AWSNはどのようにセキュリティのスーパーウーマンの新しい世代を設定しているか

セキュア・バイ・デザインは、誰もが注目している最新の取り組みであり、オーストラリア政府は、グローバル・ガバナンスの最高レベルでCISAと協力し、ベンダーがより高い水準のソフトウェア品質とセキュリティを確保するよう指導している。