コピー&ペーストは危険なコーディングテクニック
バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。
しかし、開発者の視点からは、この問題をもっと認識する必要があります。
- コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
- かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。
報告書では、以下のような解決策を提案しています。
- 従業員の再教育
- 半自動化されたセキュリティバグの検出と修正
今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。
"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。
しかし、開発者の視点からは、この問題をもっと認識する必要があります。
- コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
- かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。
報告書では、以下のような解決策を提案しています。
- 従業員の再教育
- 半自動化されたセキュリティバグの検出と修正
今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。
"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。
しかし、開発者の視点からは、この問題をもっと認識する必要があります。
- コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
- かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。
報告書では、以下のような解決策を提案しています。
- 従業員の再教育
- 半自動化されたセキュリティバグの検出と修正
今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。
"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。
しかし、開発者の視点からは、この問題をもっと認識する必要があります。
- コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
- かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。
報告書では、以下のような解決策を提案しています。
- 従業員の再教育
- 半自動化されたセキュリティバグの検出と修正
今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。
"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
始めるためのリソース
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
