Coders Conquer Security OWASP Top 10 API Series - 不適切な資産管理
OWASP の API トップテンに掲載されているほとんどの脆弱性とは異なり、不適切な資産管理は、特にコーディング上の欠陥を中心としたものではありません。むしろ、この脆弱性は、古いAPIをより安全な新バージョンに置き換えるべきだったにもかかわらず、長い間そのままにしておくことを許してしまうような、人的または管理的な問題である。また、開発途中のAPIが脅威に対して完全に強化される前に本番環境にさらされた場合にも発生する可能性がある。
この脆弱性は、マイクロサービスやクラウドコンピューティングの出現により、特に管理が難しくなっています。そのような環境では、一時的なニーズを満たすために新しいサービスがすぐに立ち上げられ、その後は忘れ去られ、廃止されることはないかもしれません。古いAPIが本番環境に接続されたままになっていると、ネットワーク全体を危険にさらすことになります。
このセキュリティバグについて、ゲーム感覚でチャレンジしてみませんか?私たちのアリーナに足を踏み入れてみてください。[Start Here] (ここからスタート)
不適切な資産管理の欠陥は、APIにどのような影響を与えるのでしょうか?
不適切な資産管理という欠陥は、現代の産物です。ビジネスのスピードに追われる組織では、毎日何百、何千ものサービスやマイクロサービスを立ち上げることがあります。これは、付随するドキュメントの作成や、関連するAPIが何に使用されているのか、どのくらいの期間必要とされるのか、その重要性についての説明がないまま、素早く行われることが多い。特に、APIの存続期間を定義する包括的なポリシーがない場合は、時間の経過とともに手に負えなくなる可能性があります。
そのような環境では、いくつかのAPIが失われたり、忘れ去られたり、あるいは廃止されないことも大いにあり得ます。
また、通常のプロセス以外で新しいサービスを作成する権限を持つユーザーにも原因がある場合があります。例えば、マーケティンググループが、製品発表会などのイベントをサポートするためにサービスを作成し、イベント終了後にそのサービスを元に戻さない場合があります。後でそのサービスと関連するAPIを見た人は、なぜそのサービスが存在するのかわからないかもしれませんし、ドキュメントがなければ謎のままかもしれません。そのAPIがどれほど重要なのか、何をしているのかがわからないため、本番環境からそれらのAPIを削除したり、新しいバージョンにアップグレードしたりすることに抵抗を感じるかもしれません。
脆弱性が危険になるのは、フレームワークのAPIのセキュリティが時間とともに向上するからです。研究者が脆弱性を発見したり、最近増えているタイプの攻撃を阻止するために特別なセキュリティが追加されたりすることがあります。古いAPIは、アップグレードされない限り、それらの攻撃に対して脆弱なままであるため、ハッカーはしばしばそれらのAPIを探したり、自動化されたツールを使って探し出したりします。
OWASPが提供している実例では、ある企業がユーザーデータベースの検索に使用するAPIをアップグレードし、重大な欠陥を修正しました。しかし、誤って古いAPIをそのままにしてしまいました。
攻撃者は、新しいAPIの場所が(api.criticalservice.com/v2)のようになっていることに気づきました。このURLを(api.criticalservice.com/v1)に置き換えることで、既知の脆弱性を持つ古いAPIを代わりに使用することができました。この結果、1億人以上のユーザーの個人情報が流出しました。
不適切な資産管理の不備をなくす
不適切な資産管理の欠陥を環境から排除する唯一の方法は、すべてのAPI、その用途とバージョンをしっかりと把握することだ。そのためには、まず既存のAPIのインベントリーを作成し、本番環境や開発環境など、どのような環境にデプロイすべきか、誰がネットワークにアクセスすべきか、そしてもちろんそのバージョンなどの要素に着目する必要がある。
これが完了したら、新しいAPIやサービスが作成された際に、自動的にドキュメントが追加されるプロセスを導入する必要がある。これには、レート制限、リクエストとレスポンスの処理方法、リソースの共有、接続可能なエンドポイント、適用される関連ポリシーなど、APIのすべての側面が含まれており、後の監査に必要なものも含まれている。また、本番環境以外のAPIや開発環境のAPIを本番環境で使用することは避けるべきです。また、自動的に廃止されないように、APIの所有者がその使用を継続することを正当化しなければならない期限を設けることも検討してください。
アクティブなAPIの新しいバージョンが利用可能になるたびに、リスクassessment 、アップグレードすべきかどうかを判断し、本番環境を混乱させないためにそのプロセスをどのように行うべきかを決定する。新しいAPIへの移行が完了したら、古いAPIを環境から完全に削除する。
これらすべてを行うことで、不適切な資産管理の脆弱性が組織、ユーザー、ネットワークに被害を及ぼすことを防ぐことができます。この脆弱性についての詳細は Secure Code Warriorブログでは、この脆弱性や、他のセキュリティ上の欠陥の被害から組織や顧客を守るための方法について、より詳しい情報を提供しています。また、Secure Code Warrior トレーニングプラットフォームのデモをお試しいただくことで、サイバーセキュリティに関するすべてのスキルを磨き、最新の状態に保つことができます。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
OWASP の API トップテンに掲載されているほとんどの脆弱性とは異なり、不適切な資産管理は、特にコーディング上の欠陥を中心としたものではありません。むしろ、この脆弱性は、古いAPIをより安全な新バージョンに置き換えるべきだったにもかかわらず、長い間そのままにしておくことを許してしまうような、人的または管理的な問題である。また、開発途中のAPIが脅威に対して完全に強化される前に本番環境にさらされた場合にも発生する可能性がある。
この脆弱性は、マイクロサービスやクラウドコンピューティングの出現により、特に管理が難しくなっています。そのような環境では、一時的なニーズを満たすために新しいサービスがすぐに立ち上げられ、その後は忘れ去られ、廃止されることはないかもしれません。古いAPIが本番環境に接続されたままになっていると、ネットワーク全体を危険にさらすことになります。
このセキュリティバグについて、ゲーム感覚でチャレンジしてみませんか?私たちのアリーナに足を踏み入れてみてください。[Start Here] (ここからスタート)
不適切な資産管理の欠陥は、APIにどのような影響を与えるのでしょうか?
不適切な資産管理という欠陥は、現代の産物です。ビジネスのスピードに追われる組織では、毎日何百、何千ものサービスやマイクロサービスを立ち上げることがあります。これは、付随するドキュメントの作成や、関連するAPIが何に使用されているのか、どのくらいの期間必要とされるのか、その重要性についての説明がないまま、素早く行われることが多い。特に、APIの存続期間を定義する包括的なポリシーがない場合は、時間の経過とともに手に負えなくなる可能性があります。
そのような環境では、いくつかのAPIが失われたり、忘れ去られたり、あるいは廃止されないことも大いにあり得ます。
また、通常のプロセス以外で新しいサービスを作成する権限を持つユーザーにも原因がある場合があります。例えば、マーケティンググループが、製品発表会などのイベントをサポートするためにサービスを作成し、イベント終了後にそのサービスを元に戻さない場合があります。後でそのサービスと関連するAPIを見た人は、なぜそのサービスが存在するのかわからないかもしれませんし、ドキュメントがなければ謎のままかもしれません。そのAPIがどれほど重要なのか、何をしているのかがわからないため、本番環境からそれらのAPIを削除したり、新しいバージョンにアップグレードしたりすることに抵抗を感じるかもしれません。
脆弱性が危険になるのは、フレームワークのAPIのセキュリティが時間とともに向上するからです。研究者が脆弱性を発見したり、最近増えているタイプの攻撃を阻止するために特別なセキュリティが追加されたりすることがあります。古いAPIは、アップグレードされない限り、それらの攻撃に対して脆弱なままであるため、ハッカーはしばしばそれらのAPIを探したり、自動化されたツールを使って探し出したりします。
OWASPが提供している実例では、ある企業がユーザーデータベースの検索に使用するAPIをアップグレードし、重大な欠陥を修正しました。しかし、誤って古いAPIをそのままにしてしまいました。
攻撃者は、新しいAPIの場所が(api.criticalservice.com/v2)のようになっていることに気づきました。このURLを(api.criticalservice.com/v1)に置き換えることで、既知の脆弱性を持つ古いAPIを代わりに使用することができました。この結果、1億人以上のユーザーの個人情報が流出しました。
不適切な資産管理の不備をなくす
不適切な資産管理の欠陥を環境から排除する唯一の方法は、すべてのAPI、その用途とバージョンをしっかりと把握することだ。そのためには、まず既存のAPIのインベントリーを作成し、本番環境や開発環境など、どのような環境にデプロイすべきか、誰がネットワークにアクセスすべきか、そしてもちろんそのバージョンなどの要素に着目する必要がある。
これが完了したら、新しいAPIやサービスが作成された際に、自動的にドキュメントが追加されるプロセスを導入する必要がある。これには、レート制限、リクエストとレスポンスの処理方法、リソースの共有、接続可能なエンドポイント、適用される関連ポリシーなど、APIのすべての側面が含まれており、後の監査に必要なものも含まれている。また、本番環境以外のAPIや開発環境のAPIを本番環境で使用することは避けるべきです。また、自動的に廃止されないように、APIの所有者がその使用を継続することを正当化しなければならない期限を設けることも検討してください。
アクティブなAPIの新しいバージョンが利用可能になるたびに、リスクassessment 、アップグレードすべきかどうかを判断し、本番環境を混乱させないためにそのプロセスをどのように行うべきかを決定する。新しいAPIへの移行が完了したら、古いAPIを環境から完全に削除する。
これらすべてを行うことで、不適切な資産管理の脆弱性が組織、ユーザー、ネットワークに被害を及ぼすことを防ぐことができます。この脆弱性についての詳細は Secure Code Warriorブログでは、この脆弱性や、他のセキュリティ上の欠陥の被害から組織や顧客を守るための方法について、より詳しい情報を提供しています。また、Secure Code Warrior トレーニングプラットフォームのデモをお試しいただくことで、サイバーセキュリティに関するすべてのスキルを磨き、最新の状態に保つことができます。
OWASP の API トップテンに掲載されているほとんどの脆弱性とは異なり、不適切な資産管理は、特にコーディング上の欠陥を中心としたものではありません。むしろ、この脆弱性は、古いAPIをより安全な新バージョンに置き換えるべきだったにもかかわらず、長い間そのままにしておくことを許してしまうような、人的または管理的な問題である。また、開発途中のAPIが脅威に対して完全に強化される前に本番環境にさらされた場合にも発生する可能性がある。
この脆弱性は、マイクロサービスやクラウドコンピューティングの出現により、特に管理が難しくなっています。そのような環境では、一時的なニーズを満たすために新しいサービスがすぐに立ち上げられ、その後は忘れ去られ、廃止されることはないかもしれません。古いAPIが本番環境に接続されたままになっていると、ネットワーク全体を危険にさらすことになります。
このセキュリティバグについて、ゲーム感覚でチャレンジしてみませんか?私たちのアリーナに足を踏み入れてみてください。[Start Here] (ここからスタート)
不適切な資産管理の欠陥は、APIにどのような影響を与えるのでしょうか?
不適切な資産管理という欠陥は、現代の産物です。ビジネスのスピードに追われる組織では、毎日何百、何千ものサービスやマイクロサービスを立ち上げることがあります。これは、付随するドキュメントの作成や、関連するAPIが何に使用されているのか、どのくらいの期間必要とされるのか、その重要性についての説明がないまま、素早く行われることが多い。特に、APIの存続期間を定義する包括的なポリシーがない場合は、時間の経過とともに手に負えなくなる可能性があります。
そのような環境では、いくつかのAPIが失われたり、忘れ去られたり、あるいは廃止されないことも大いにあり得ます。
また、通常のプロセス以外で新しいサービスを作成する権限を持つユーザーにも原因がある場合があります。例えば、マーケティンググループが、製品発表会などのイベントをサポートするためにサービスを作成し、イベント終了後にそのサービスを元に戻さない場合があります。後でそのサービスと関連するAPIを見た人は、なぜそのサービスが存在するのかわからないかもしれませんし、ドキュメントがなければ謎のままかもしれません。そのAPIがどれほど重要なのか、何をしているのかがわからないため、本番環境からそれらのAPIを削除したり、新しいバージョンにアップグレードしたりすることに抵抗を感じるかもしれません。
脆弱性が危険になるのは、フレームワークのAPIのセキュリティが時間とともに向上するからです。研究者が脆弱性を発見したり、最近増えているタイプの攻撃を阻止するために特別なセキュリティが追加されたりすることがあります。古いAPIは、アップグレードされない限り、それらの攻撃に対して脆弱なままであるため、ハッカーはしばしばそれらのAPIを探したり、自動化されたツールを使って探し出したりします。
OWASPが提供している実例では、ある企業がユーザーデータベースの検索に使用するAPIをアップグレードし、重大な欠陥を修正しました。しかし、誤って古いAPIをそのままにしてしまいました。
攻撃者は、新しいAPIの場所が(api.criticalservice.com/v2)のようになっていることに気づきました。このURLを(api.criticalservice.com/v1)に置き換えることで、既知の脆弱性を持つ古いAPIを代わりに使用することができました。この結果、1億人以上のユーザーの個人情報が流出しました。
不適切な資産管理の不備をなくす
不適切な資産管理の欠陥を環境から排除する唯一の方法は、すべてのAPI、その用途とバージョンをしっかりと把握することだ。そのためには、まず既存のAPIのインベントリーを作成し、本番環境や開発環境など、どのような環境にデプロイすべきか、誰がネットワークにアクセスすべきか、そしてもちろんそのバージョンなどの要素に着目する必要がある。
これが完了したら、新しいAPIやサービスが作成された際に、自動的にドキュメントが追加されるプロセスを導入する必要がある。これには、レート制限、リクエストとレスポンスの処理方法、リソースの共有、接続可能なエンドポイント、適用される関連ポリシーなど、APIのすべての側面が含まれており、後の監査に必要なものも含まれている。また、本番環境以外のAPIや開発環境のAPIを本番環境で使用することは避けるべきです。また、自動的に廃止されないように、APIの所有者がその使用を継続することを正当化しなければならない期限を設けることも検討してください。
アクティブなAPIの新しいバージョンが利用可能になるたびに、リスクassessment 、アップグレードすべきかどうかを判断し、本番環境を混乱させないためにそのプロセスをどのように行うべきかを決定する。新しいAPIへの移行が完了したら、古いAPIを環境から完全に削除する。
これらすべてを行うことで、不適切な資産管理の脆弱性が組織、ユーザー、ネットワークに被害を及ぼすことを防ぐことができます。この脆弱性についての詳細は Secure Code Warriorブログでは、この脆弱性や、他のセキュリティ上の欠陥の被害から組織や顧客を守るための方法について、より詳しい情報を提供しています。また、Secure Code Warrior トレーニングプラットフォームのデモをお試しいただくことで、サイバーセキュリティに関するすべてのスキルを磨き、最新の状態に保つことができます。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
OWASP の API トップテンに掲載されているほとんどの脆弱性とは異なり、不適切な資産管理は、特にコーディング上の欠陥を中心としたものではありません。むしろ、この脆弱性は、古いAPIをより安全な新バージョンに置き換えるべきだったにもかかわらず、長い間そのままにしておくことを許してしまうような、人的または管理的な問題である。また、開発途中のAPIが脅威に対して完全に強化される前に本番環境にさらされた場合にも発生する可能性がある。
この脆弱性は、マイクロサービスやクラウドコンピューティングの出現により、特に管理が難しくなっています。そのような環境では、一時的なニーズを満たすために新しいサービスがすぐに立ち上げられ、その後は忘れ去られ、廃止されることはないかもしれません。古いAPIが本番環境に接続されたままになっていると、ネットワーク全体を危険にさらすことになります。
このセキュリティバグについて、ゲーム感覚でチャレンジしてみませんか?私たちのアリーナに足を踏み入れてみてください。[Start Here] (ここからスタート)
不適切な資産管理の欠陥は、APIにどのような影響を与えるのでしょうか?
不適切な資産管理という欠陥は、現代の産物です。ビジネスのスピードに追われる組織では、毎日何百、何千ものサービスやマイクロサービスを立ち上げることがあります。これは、付随するドキュメントの作成や、関連するAPIが何に使用されているのか、どのくらいの期間必要とされるのか、その重要性についての説明がないまま、素早く行われることが多い。特に、APIの存続期間を定義する包括的なポリシーがない場合は、時間の経過とともに手に負えなくなる可能性があります。
そのような環境では、いくつかのAPIが失われたり、忘れ去られたり、あるいは廃止されないことも大いにあり得ます。
また、通常のプロセス以外で新しいサービスを作成する権限を持つユーザーにも原因がある場合があります。例えば、マーケティンググループが、製品発表会などのイベントをサポートするためにサービスを作成し、イベント終了後にそのサービスを元に戻さない場合があります。後でそのサービスと関連するAPIを見た人は、なぜそのサービスが存在するのかわからないかもしれませんし、ドキュメントがなければ謎のままかもしれません。そのAPIがどれほど重要なのか、何をしているのかがわからないため、本番環境からそれらのAPIを削除したり、新しいバージョンにアップグレードしたりすることに抵抗を感じるかもしれません。
脆弱性が危険になるのは、フレームワークのAPIのセキュリティが時間とともに向上するからです。研究者が脆弱性を発見したり、最近増えているタイプの攻撃を阻止するために特別なセキュリティが追加されたりすることがあります。古いAPIは、アップグレードされない限り、それらの攻撃に対して脆弱なままであるため、ハッカーはしばしばそれらのAPIを探したり、自動化されたツールを使って探し出したりします。
OWASPが提供している実例では、ある企業がユーザーデータベースの検索に使用するAPIをアップグレードし、重大な欠陥を修正しました。しかし、誤って古いAPIをそのままにしてしまいました。
攻撃者は、新しいAPIの場所が(api.criticalservice.com/v2)のようになっていることに気づきました。このURLを(api.criticalservice.com/v1)に置き換えることで、既知の脆弱性を持つ古いAPIを代わりに使用することができました。この結果、1億人以上のユーザーの個人情報が流出しました。
不適切な資産管理の不備をなくす
不適切な資産管理の欠陥を環境から排除する唯一の方法は、すべてのAPI、その用途とバージョンをしっかりと把握することだ。そのためには、まず既存のAPIのインベントリーを作成し、本番環境や開発環境など、どのような環境にデプロイすべきか、誰がネットワークにアクセスすべきか、そしてもちろんそのバージョンなどの要素に着目する必要がある。
これが完了したら、新しいAPIやサービスが作成された際に、自動的にドキュメントが追加されるプロセスを導入する必要がある。これには、レート制限、リクエストとレスポンスの処理方法、リソースの共有、接続可能なエンドポイント、適用される関連ポリシーなど、APIのすべての側面が含まれており、後の監査に必要なものも含まれている。また、本番環境以外のAPIや開発環境のAPIを本番環境で使用することは避けるべきです。また、自動的に廃止されないように、APIの所有者がその使用を継続することを正当化しなければならない期限を設けることも検討してください。
アクティブなAPIの新しいバージョンが利用可能になるたびに、リスクassessment 、アップグレードすべきかどうかを判断し、本番環境を混乱させないためにそのプロセスをどのように行うべきかを決定する。新しいAPIへの移行が完了したら、古いAPIを環境から完全に削除する。
これらすべてを行うことで、不適切な資産管理の脆弱性が組織、ユーザー、ネットワークに被害を及ぼすことを防ぐことができます。この脆弱性についての詳細は Secure Code Warriorブログでは、この脆弱性や、他のセキュリティ上の欠陥の被害から組織や顧客を守るための方法について、より詳しい情報を提供しています。また、Secure Code Warrior トレーニングプラットフォームのデモをお試しいただくことで、サイバーセキュリティに関するすべてのスキルを磨き、最新の状態に保つことができます。
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.