コードを檻から出す:セキュアな開発者が制限なく出荷できる理由
この記事はもともと SDタイムズ.更新され、ここにシンジケートされている。
技能の確認は、現代のほとんどの時代において私たちの生活の一面を占めており、私たちに正当性を与え、他の方法では得られない扉を開いている。例えば、運転はほとんどの人にとって重要な通過儀礼であり、私たちは時速100マイル以上で走行可能な4,000ポンドのマシンを任せられるかどうかを確認するために、一連の標準化された評価に合格することが期待されている。
。しかし、ある人にとって運転が日々の利便性を超え、エリート職業になるとしたらどうだろう?F1ドライバーになる可能性もある。そこでは、一般人が現実的に扱えるスピードよりも速いマシンを、高速でミスをする可能性なしに操作することが許される。
そのため、重要なインフラ、自動車、医療技術、そしてその間にあるあらゆるものに電力を供給するコードに携わる開発者のほとんどが、まず自分のセキュリティ能力を検証することなくそうしているのは不可解に思える。その一方で、セキュリティに精通した開発者たちは、物事を安全に構築する方法を理解していることを何度も証明してきたはずなのに、なぜセキュリティゲートのために、遅々として進まない開発パイプラインの中で他の開発者たちと一緒に行列を作る必要があるのだろうか。業界はこれを見落としとは見ていない。
私たちは、広範な調査から、ほとんどの開発者が自分のコードでセキュリティを優先しておらず、一般的なセキュリティバグの多くをナビゲートするために必要な定期的な教育が不足していることを知っています。多くのセキュリティ対応開発者は、アウトバーンの低速車線で、多くの初心者ドライバーの後ろから立ち往生しているように感じています。
このような状況にもかかわらず、セキュリティの世界は徐々に前進しており、開発者には、現場で即戦力となる検証済みのセキュリティ・スキルがますます求められている。バイデン政権の「国家のサイバーセキュリティ向上に関する大統領令」では、米国政府のソフトウェア・サプライチェーンに含まれるすべてのサプライヤについて、ベンダ(およびその開発グループ)のセキュリティ対策を評価するよう特に求めている。しかし、業界標準の評価方法がほとんど提供されていない中で、企業は、自社のセキュリティ対策プログラムが、納品に膝をつかせたり、セキュリティ意識の高い開発者が羽ばたくのを止めたりすることのない方法で、検証可能な開発者のセキュリティスキルを向上させていることを、どのように証明すればよいのだろうか。
メリットに基づくアクセス制御:うまくいくだろうか?
最小特権のセキュリティ管理は、多くの組織で主力となっているもので、各役割には、業務上必要な範囲でソフトウェア、データ、システムへのアクセスが割り当てられ、それ以上は割り当てられないという考え方である。この方法は、特にゼロ・トラスト認可の原則と組み合わせると、攻撃対象の全容を把握するのに役立つ。そして本当は、この同じ戦略をAPIパーミッションやその他のソフトウェアベースのユースケースにも標準的に適用すべきだ。
セキュリティ・ビジネスに携わる私たちのほとんどは、ソフトウェアが世界を食いつぶしているという事実を強く意識しており、フライヤーを動かしている組込みシステムのコードも、悪用される可能性があるという点では、送電網を稼働させているコードと何ら変わりはない。私たちの生活や重要なデータは、脅威要因に翻弄されている。開発者は皆、適切な教育を受けることで、コードを強化できる力を理解しなければならない。組織のセキュリティ文化を真剣にアップグレードする必要があるが、真のDevSecOpsスタイルの責任共有のためには、開発者は自分の果たす役割にもっと関心を持つ理由が必要であり、おそらく彼らの考え方を変える最も早い方法は、コードリポジトリへのアクセスをセキュアコーディングの学習成果に結びつけることだろう。
例えばBFSI分野の組織を例にとれば、顧客データを含む機密性の高いリポジトリや、クレジットカード番号のような貴重な情報を保管している可能性が高い。それなのに、アクセスを許可された各エンジニアがセキュリティを意識し、PCI-DSSの厳しい要件に準拠し、マスター・ブランチへの変更を迅速かつ問題なく行えると考えるべきでしょうか。一部のエンジニアはそうかもしれないが、その知識が証明されるまでは、こうしたデリケートなシステムへのアクセスを制限した方がはるかに安全だろう。
課題は、ほとんどの企業において、「ライセンス・トゥ・コード」シナリオを実施することは困難であり、トレーニングソリューションによっては、セキュリティのスピード目標をサポートするにはマニュアル的すぎるということである。しかし、統合的な教育とツールの適切な組み合わせは、開発者主導の防御的セキュリティ戦略の中核となり得る。
効果的なトレーニングの統合は不可能ではない。
高速なビジネス目標とワークフローの両方を補完する開発者のスキルアップソリューションを見つけることは、戦いの半分である。そして、自分自身を証明することに成功した開発者にとってはどうだろうか?まあ、コーディングの世界は彼らのものであり、彼らが基本的なことをナビゲートできないことを前提としたセキュリティ管理によって足かせにされる必要はない。
開発環境とシームレスに統合されたハンズオンスキルの向上は、エンジニアがセキュアコーディングの概念を真に理解し、適用するために必要なコンテキストを提供する。また、同じ統合機能を使用して、重要システムへのアクセスを効果的に管理することができ、学習成果に秀でた者が最優先の機密タスクに支障なく取り組めるようにする。また、報奨金や表彰の実施も容易になり、セキュリティスキルを持つ開発者が同業他社から憧れの存在として見られるようになる。
人生において多くのことがそうであるように、幸運は勇敢な者に味方する。現状を打破し、開発者のスキル検証に既成概念にとらわれないアプローチを採用することは、スピードを犠牲にすることなく、許容可能なコード品質の明日の基準を高めるためにまさに必要なことである。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
コードを檻から出す:セキュアな開発者が制限なく出荷できる理由
この記事はもともと SDタイムズ.更新され、ここにシンジケートされている。
技能の確認は、現代のほとんどの時代において私たちの生活の一面を占めており、私たちに正当性を与え、他の方法では得られない扉を開いている。例えば、運転はほとんどの人にとって重要な通過儀礼であり、私たちは時速100マイル以上で走行可能な4,000ポンドのマシンを任せられるかどうかを確認するために、一連の標準化された評価に合格することが期待されている。
。しかし、ある人にとって運転が日々の利便性を超え、エリート職業になるとしたらどうだろう?F1ドライバーになる可能性もある。そこでは、一般人が現実的に扱えるスピードよりも速いマシンを、高速でミスをする可能性なしに操作することが許される。
そのため、重要なインフラ、自動車、医療技術、そしてその間にあるあらゆるものに電力を供給するコードに携わる開発者のほとんどが、まず自分のセキュリティ能力を検証することなくそうしているのは不可解に思える。その一方で、セキュリティに精通した開発者たちは、物事を安全に構築する方法を理解していることを何度も証明してきたはずなのに、なぜセキュリティゲートのために、遅々として進まない開発パイプラインの中で他の開発者たちと一緒に行列を作る必要があるのだろうか。業界はこれを見落としとは見ていない。
私たちは、広範な調査から、ほとんどの開発者が自分のコードでセキュリティを優先しておらず、一般的なセキュリティバグの多くをナビゲートするために必要な定期的な教育が不足していることを知っています。多くのセキュリティ対応開発者は、アウトバーンの低速車線で、多くの初心者ドライバーの後ろから立ち往生しているように感じています。
このような状況にもかかわらず、セキュリティの世界は徐々に前進しており、開発者には、現場で即戦力となる検証済みのセキュリティ・スキルがますます求められている。バイデン政権の「国家のサイバーセキュリティ向上に関する大統領令」では、米国政府のソフトウェア・サプライチェーンに含まれるすべてのサプライヤについて、ベンダ(およびその開発グループ)のセキュリティ対策を評価するよう特に求めている。しかし、業界標準の評価方法がほとんど提供されていない中で、企業は、自社のセキュリティ対策プログラムが、納品に膝をつかせたり、セキュリティ意識の高い開発者が羽ばたくのを止めたりすることのない方法で、検証可能な開発者のセキュリティスキルを向上させていることを、どのように証明すればよいのだろうか。
メリットに基づくアクセス制御:うまくいくだろうか?
最小特権のセキュリティ管理は、多くの組織で主力となっているもので、各役割には、業務上必要な範囲でソフトウェア、データ、システムへのアクセスが割り当てられ、それ以上は割り当てられないという考え方である。この方法は、特にゼロ・トラスト認可の原則と組み合わせると、攻撃対象の全容を把握するのに役立つ。そして本当は、この同じ戦略をAPIパーミッションやその他のソフトウェアベースのユースケースにも標準的に適用すべきだ。
セキュリティ・ビジネスに携わる私たちのほとんどは、ソフトウェアが世界を食いつぶしているという事実を強く意識しており、フライヤーを動かしている組込みシステムのコードも、悪用される可能性があるという点では、送電網を稼働させているコードと何ら変わりはない。私たちの生活や重要なデータは、脅威要因に翻弄されている。開発者は皆、適切な教育を受けることで、コードを強化できる力を理解しなければならない。組織のセキュリティ文化を真剣にアップグレードする必要があるが、真のDevSecOpsスタイルの責任共有のためには、開発者は自分の果たす役割にもっと関心を持つ理由が必要であり、おそらく彼らの考え方を変える最も早い方法は、コードリポジトリへのアクセスをセキュアコーディングの学習成果に結びつけることだろう。
例えばBFSI分野の組織を例にとれば、顧客データを含む機密性の高いリポジトリや、クレジットカード番号のような貴重な情報を保管している可能性が高い。それなのに、アクセスを許可された各エンジニアがセキュリティを意識し、PCI-DSSの厳しい要件に準拠し、マスター・ブランチへの変更を迅速かつ問題なく行えると考えるべきでしょうか。一部のエンジニアはそうかもしれないが、その知識が証明されるまでは、こうしたデリケートなシステムへのアクセスを制限した方がはるかに安全だろう。
課題は、ほとんどの企業において、「ライセンス・トゥ・コード」シナリオを実施することは困難であり、トレーニングソリューションによっては、セキュリティのスピード目標をサポートするにはマニュアル的すぎるということである。しかし、統合的な教育とツールの適切な組み合わせは、開発者主導の防御的セキュリティ戦略の中核となり得る。
効果的なトレーニングの統合は不可能ではない。
高速なビジネス目標とワークフローの両方を補完する開発者のスキルアップソリューションを見つけることは、戦いの半分である。そして、自分自身を証明することに成功した開発者にとってはどうだろうか?まあ、コーディングの世界は彼らのものであり、彼らが基本的なことをナビゲートできないことを前提としたセキュリティ管理によって足かせにされる必要はない。
開発環境とシームレスに統合されたハンズオンスキルの向上は、エンジニアがセキュアコーディングの概念を真に理解し、適用するために必要なコンテキストを提供する。また、同じ統合機能を使用して、重要システムへのアクセスを効果的に管理することができ、学習成果に秀でた者が最優先の機密タスクに支障なく取り組めるようにする。また、報奨金や表彰の実施も容易になり、セキュリティスキルを持つ開発者が同業他社から憧れの存在として見られるようになる。
人生において多くのことがそうであるように、幸運は勇敢な者に味方する。現状を打破し、開発者のスキル検証に既成概念にとらわれないアプローチを採用することは、スピードを犠牲にすることなく、許容可能なコード品質の明日の基準を高めるためにまさに必要なことである。
