コピー&ペーストは危険なコーディングテクニック
バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。
しかし、開発者の視点からは、この問題をもっと認識する必要があります。
- コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
- かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。
報告書では、以下のような解決策を提案しています。
- 従業員の再教育
- 半自動化されたセキュリティバグの検出と修正
今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。
"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。
しかし、開発者の視点からは、この問題をもっと認識する必要があります。
- コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
- かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。
報告書では、以下のような解決策を提案しています。
- 従業員の再教育
- 半自動化されたセキュリティバグの検出と修正
今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。
"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。
しかし、開発者の視点からは、この問題をもっと認識する必要があります。
- コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
- かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。
報告書では、以下のような解決策を提案しています。
- 従業員の再教育
- 半自動化されたセキュリティバグの検出と修正
今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。
"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
バージニア工科大学の研究者は、最も人気のある開発者フォーラム(Stack Overflow)の何百もの投稿を分析し、論文を発表しました。この論文では、セキュリティに関する質問の種類、コミュニティで最も多く寄せられる回答、コードソフトウェアエンジニアに与える影響などを調べています。
しかし、開発者の視点からは、この問題をもっと認識する必要があります。
- コーディングフレームワーク(JAVA Springなど)が提供するセキュリティ機能は、複雑すぎて文書化されていません。
- かなりの数の開発者が、コーディングオプションのセキュリティへの影響を理解していないようで、サイバーセキュリティのトレーニングが不足していることがわかります。
- これらのフォーラムでの提案や「修正」の多くは安全ではありませんが、ポジティブな投票を得ていたため、評価が高くなっています。
報告書では、以下のような解決策を提案しています。
- 従業員の再教育
- 半自動化されたセキュリティバグの検出と修正
今日のビジネスのスピードを維持するためには、開発者にとってセキュリティを簡単にし、最初からビルトインする必要があります。
"本研究の意義は、これまで報告されていなかった相当数の憂慮すべきセキュアコーディングの問題について、実証的な証拠を提供したことにあります" と論文は述べています。"これらの問題は、企業のセキュリティ・アプリケーションの必要性が急速に高まっていること、ソフトウェア開発者のセキュリティ・トレーニングの不足、セキュリティ・ライブラリの設計不良など、さまざまな理由に起因しています。"
https://www.theregister.com/2017/09/29/java_security_plagued_stack_overflow/
.png)
