Devlympics 2023:振り返って

2023年11月28日発行
ケーススタディ

Devlympics 2023:振り返って

デブリンピックスとは?

Devlympicsは、開発者のセキュアなコードスキルをテストするために、アジャイルlearning platform 、Secure Code Warrior が主催する毎年恒例のグローバルなtournament 。

24時間tournament の間、世界中の開発者が、選択したプログラミング言語で、攻守のコーディング・チャレンジで競い合った。開発者たちは、さまざまなスキルを持つ仲間たちと競い合い、ポイントを獲得してリーダーボードのトップに躍り出る機会を得た。

本レポートでは、Devlympics 2023 の結果の概要に加え、数百人の開発者が挑戦した課題の中から浮き彫りになった強みと機会について深く掘り下げます。さらに、各業界、言語、および開発者が取り組んだ一般的なCWE(Common Weakness Enumerations)の傾向を強調し、あなたのセキュアコード学習を次のレベルに引き上げるのに役立ちます。

デブリンピックと開発者の声Secure Code Warrior

"Secure Code Warrior は、他の参加者と競い合い、技術を向上させるための素晴らしいプラットフォームです。"
"Secure Code Warrior はインタラクティブでコードレビューのようなアプローチを取る" 
"Secure Code Warrior は、興味深い競技を通して自分を鍛えてくれる最高のプラットフォームのひとつだ。"
"エキサイティングで、スリリングで、大好きだった!" 

開発者のお気に入りSecure Code Warrior

イベント終了後、200人以上の参加者にアンケートをとったところ、開発者たちはこのコンペティションが大好きだということが数字で示された。

94%の参加者がtournament でのプレーを楽しんだ 90%が来年のイベントにも参加すると回答 62%がSCWプラットフォームに10/10の評価を与え、91%が同僚に勧めたいと回答 85%以上が、所属する組織がフルタイムでSCWプラットフォームを利用できるのであれば、ぜひ利用したいと回答した。

開発者の関与

Devlympics への開発者の参加は年々増え続けており、2023 年のtournament には 1000 人以上の開発者が参加しました。Devlympicsは、セキュリティの専門家や、さまざまな業界やプログラミング分野の開発者から、世界中の注目を集めました。昨年の2倍の参加者があり、開発者が安全なコーディング方法を学ぶことに熱心になる傾向に注目しています。セキュリティに精通した開発者のコミュニティを拡大することで、Devlympicsは、コードを脆弱性から守るための最初の防衛線としての開発者の価値を強調し続けています。

2022年のデブリンピックの選手数は786人、2023年は1472人で、2倍の伸びを示している。

デブリンピックの参加産業

セキュアなコードはすべての業界にとって重要だが、特定の業界にとっては絶対に欠かせないものだ。銀行・金融サービスや テクノロジーといった業界は、参加した開発者の数で上位を占めた。これは、これらの業界がセキュアコードに継続的に焦点を当て、重視していることの重要性を示しています。

デブリンピックに参加した選手を業種別に示したグラフ。銀行・金融サービスが53%、次点はテクノロジーで16%。

産業界が果たす役割

異なる業界では様々なプログラミング言語が利用されており、6つの異なるカテゴリー(ウェブ、モバイル、フロントエンド、API、クラウド、マッシュアップ)があり、30以上の異なる言語が利用可能であった。これらは、私たちが各業界でトレンドになっていると指摘した言語の一部です。

止まらない、止まらない

デブリンピックに参加したプレイヤーは、平均して約3時間をプラットフォームに費やし、その結果、合計4,152時間のゲームプレイを行った。

リーダーボードの上位にいる開発者の中には、次のレベルに到達した者もいる。最もプレイ時間の長いトップ20のプレイヤーは、tournament で平均14時間プレイしている。 これはもう、献身だ!

デブリンピックのゲームプレイ画像。総ゲームプレイ時間4152時間、プラットフォームにおけるユーザー一人あたりの平均プレイ時間2.9時間。トップ20、24時間中14時間プレイした開発者

フルスタック開発者

デブリンピックでは、開発者の41%が少なくとも2つの異なる言語でプレーし、ほぼ4分の1が3つ以上の言語でプレーしていた。

Stack Overflowによると、2つ以上の言語でプロダクションコードをコミットする開発者は、フルスタック開発者とみなされる。

貴社のトレーニングプログラムでは、開発者がコードをコミットするすべてのテクノロジーでトレーニングを受けていることを保証していますか?63 以上の異なる言語とフレームワークが提供されているSecure Code Warrior プラットフォームなら、すべてをカバーできます。

2カ国語以上で戦った選手の41%に対し、3カ国語以上で戦った選手は23%。

技術スタックのトレンド

セキュアなコードは、一般にアクセス可能なコードにおいて最も重要である。

あらゆる業界で、開発者はウェブ言語やAPI言語を使っている。

tournament で最もプレイされた個別言語として、Java SpringとDocker Basicが上位を占めた。

言語タイプではWebやAPIが人気。Java、Spring、Docker Basicが最も人気のある個別言語であった。

セキュリティ・チャンピオンのコミュニティ

今年のデブリンピックには、その大半がすでにSecure Code Warrior !すべての業界において、Devlympicsのプレーヤーは、そのプラットフォーム上のアセスメントについてSecure Code Warrior が指摘した業界ベンチマークをはるかに上回る成績を収めました。

私たちは、Secure Code Warrior プラットフォーム上で献身的な開発者セキュリティ・チャンピオンのコミュニティを構築し続けているため、この数字は年々有望になり続けると期待しています!

主な脆弱性 - Web & API

Devlympics に参加した開発者は、OWASP トップ 10 カテゴリの「インジェクションの欠陥」と「脆弱なサードパーティ製コンポーネント」において、良好なスキルレベルを示しました。私たちは、これらの脆弱性が OWASP トップ 10 リストから時間の経過とともに減少していくことを楽観視しています。

大量割り当ては依然として大きな問題だ。開発者のスキル・レベルは、この特定の脆弱性に関しては低い部類に入る。この分野の自動化ツールやテストが不足していることを考えると、これは本当に懸念すべきことであり、注意深く監視する必要がある。この分野での教育がさらに進めば、この特定の脆弱性に対処するセキュリティ・チームのプレッシャーも軽減されるだろう。

脆弱性別のトップスコアは以下の通り:XMLExternal Entities XXE 92%、脆弱なコンポーネント 90%、インジェクションの欠陥 89%。脆弱性別の最下位スコアは以下の通り:クロスサイト・リクエスト・フォージェリ 70%、大量割り当て 71%、ファイル・アップロードの脆弱性 71

CWE 最も危険なソフトウェアの弱点トップ25

Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアの弱点トップ25)リストは、現在最も一般的で影響力のあるソフトウェアの弱点を毎年開発者に提供しています。

Devlympics では、#1 CWE-787 Memory Corruption、#9 CWE-352 Cross-site Request Forgery、#10 CWE-434 File Upload が最も精度が低かった。 

SWE-89 SQL インジェクション」、「CWE-78 OS コマンドインジェクション」、「CWE-22 パストラバーサル」など、インジェクションに関連する脆弱性は、Devlympics の期間中、最も高いスコアを記録した CWE の一部です。これらの脆弱性は、開発者のスキルが向上するにつれて、CWE トップ 25 や OWASP トップ 10 のような業界のリストから順位を下げていくことが予想されます。


秩序の弱さ

結論

2023年のDevlympicsは、世界中の開発者がtournament に参加しながら取り組み、学んでいることを実証している。その影響は、出場することで感じる誇りだけでなく、実世界のシナリオによって、知識を保持し、実践から応用につなげることが容易になる。

Secure Code Warrior は、業界をリードするセキュアコード・アジャイルlearning platform であり、開発者がセキュアなコードを書くために必要なスキルを身につけることを支援します。

Secure Code Warrior を使えば、開発チームのために Devlympics のような独自のtournament運営することができます。チームを集めて、ゲーム化された楽しいコンペティションを行い、ソフトウェアの脆弱性の発見、特定、修正について学びましょう。

成長するコミュニティに参加しよう

私たちのビジョンは、セキュリティに精通した開発者のグローバルコミュニティを鼓舞し、予防的で安全なコーディング文化を受け入れることです。私たちの焦点は、攻撃、脅威、リスクの発生を最小限に抑えることでセキュリティの回復力を強化し、変化を促進し、革新し、加速できるようにすることです。コーチングとメンタリングは、当社の開発者コミュニティに参加する上で不可欠な要素であると考えています!

デブリンピックス2024に登録し、Xでフォローして最新情報を入手してください。

PDFをダウンロード
リソースを見る
PDFをダウンロード
リソースを見る

もっと詳しく知りたい方はこちら

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
著者

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

Devlympics 2023:振り返って

2024年1月22日発行
By

デブリンピックスとは?

Devlympicsは、開発者のセキュアなコードスキルをテストするために、アジャイルlearning platform 、Secure Code Warrior が主催する毎年恒例のグローバルなtournament 。

24時間tournament の間、世界中の開発者が、選択したプログラミング言語で、攻守のコーディング・チャレンジで競い合った。開発者たちは、さまざまなスキルを持つ仲間たちと競い合い、ポイントを獲得してリーダーボードのトップに躍り出る機会を得た。

本レポートでは、Devlympics 2023 の結果の概要に加え、数百人の開発者が挑戦した課題の中から浮き彫りになった強みと機会について深く掘り下げます。さらに、各業界、言語、および開発者が取り組んだ一般的なCWE(Common Weakness Enumerations)の傾向を強調し、あなたのセキュアコード学習を次のレベルに引き上げるのに役立ちます。

デブリンピックと開発者の声Secure Code Warrior

"Secure Code Warrior は、他の参加者と競い合い、技術を向上させるための素晴らしいプラットフォームです。"
"Secure Code Warrior はインタラクティブでコードレビューのようなアプローチを取る" 
"Secure Code Warrior は、興味深い競技を通して自分を鍛えてくれる最高のプラットフォームのひとつだ。"
"エキサイティングで、スリリングで、大好きだった!" 

開発者のお気に入りSecure Code Warrior

イベント終了後、200人以上の参加者にアンケートをとったところ、開発者たちはこのコンペティションが大好きだということが数字で示された。

94%の参加者がtournament でのプレーを楽しんだ 90%が来年のイベントにも参加すると回答 62%がSCWプラットフォームに10/10の評価を与え、91%が同僚に勧めたいと回答 85%以上が、所属する組織がフルタイムでSCWプラットフォームを利用できるのであれば、ぜひ利用したいと回答した。

開発者の関与

Devlympics への開発者の参加は年々増え続けており、2023 年のtournament には 1000 人以上の開発者が参加しました。Devlympicsは、セキュリティの専門家や、さまざまな業界やプログラミング分野の開発者から、世界中の注目を集めました。昨年の2倍の参加者があり、開発者が安全なコーディング方法を学ぶことに熱心になる傾向に注目しています。セキュリティに精通した開発者のコミュニティを拡大することで、Devlympicsは、コードを脆弱性から守るための最初の防衛線としての開発者の価値を強調し続けています。

2022年のデブリンピックの選手数は786人、2023年は1472人で、2倍の伸びを示している。

デブリンピックの参加産業

セキュアなコードはすべての業界にとって重要だが、特定の業界にとっては絶対に欠かせないものだ。銀行・金融サービスや テクノロジーといった業界は、参加した開発者の数で上位を占めた。これは、これらの業界がセキュアコードに継続的に焦点を当て、重視していることの重要性を示しています。

デブリンピックに参加した選手を業種別に示したグラフ。銀行・金融サービスが53%、次点はテクノロジーで16%。

産業界が果たす役割

異なる業界では様々なプログラミング言語が利用されており、6つの異なるカテゴリー(ウェブ、モバイル、フロントエンド、API、クラウド、マッシュアップ)があり、30以上の異なる言語が利用可能であった。これらは、私たちが各業界でトレンドになっていると指摘した言語の一部です。

止まらない、止まらない

デブリンピックに参加したプレイヤーは、平均して約3時間をプラットフォームに費やし、その結果、合計4,152時間のゲームプレイを行った。

リーダーボードの上位にいる開発者の中には、次のレベルに到達した者もいる。最もプレイ時間の長いトップ20のプレイヤーは、tournament で平均14時間プレイしている。 これはもう、献身だ!

デブリンピックのゲームプレイ画像。総ゲームプレイ時間4152時間、プラットフォームにおけるユーザー一人あたりの平均プレイ時間2.9時間。トップ20、24時間中14時間プレイした開発者

フルスタック開発者

デブリンピックでは、開発者の41%が少なくとも2つの異なる言語でプレーし、ほぼ4分の1が3つ以上の言語でプレーしていた。

Stack Overflowによると、2つ以上の言語でプロダクションコードをコミットする開発者は、フルスタック開発者とみなされる。

貴社のトレーニングプログラムでは、開発者がコードをコミットするすべてのテクノロジーでトレーニングを受けていることを保証していますか?63 以上の異なる言語とフレームワークが提供されているSecure Code Warrior プラットフォームなら、すべてをカバーできます。

2カ国語以上で戦った選手の41%に対し、3カ国語以上で戦った選手は23%。

技術スタックのトレンド

セキュアなコードは、一般にアクセス可能なコードにおいて最も重要である。

あらゆる業界で、開発者はウェブ言語やAPI言語を使っている。

tournament で最もプレイされた個別言語として、Java SpringとDocker Basicが上位を占めた。

言語タイプではWebやAPIが人気。Java、Spring、Docker Basicが最も人気のある個別言語であった。

セキュリティ・チャンピオンのコミュニティ

今年のデブリンピックには、その大半がすでにSecure Code Warrior !すべての業界において、Devlympicsのプレーヤーは、そのプラットフォーム上のアセスメントについてSecure Code Warrior が指摘した業界ベンチマークをはるかに上回る成績を収めました。

私たちは、Secure Code Warrior プラットフォーム上で献身的な開発者セキュリティ・チャンピオンのコミュニティを構築し続けているため、この数字は年々有望になり続けると期待しています!

主な脆弱性 - Web & API

Devlympics に参加した開発者は、OWASP トップ 10 カテゴリの「インジェクションの欠陥」と「脆弱なサードパーティ製コンポーネント」において、良好なスキルレベルを示しました。私たちは、これらの脆弱性が OWASP トップ 10 リストから時間の経過とともに減少していくことを楽観視しています。

大量割り当ては依然として大きな問題だ。開発者のスキル・レベルは、この特定の脆弱性に関しては低い部類に入る。この分野の自動化ツールやテストが不足していることを考えると、これは本当に懸念すべきことであり、注意深く監視する必要がある。この分野での教育がさらに進めば、この特定の脆弱性に対処するセキュリティ・チームのプレッシャーも軽減されるだろう。

脆弱性別のトップスコアは以下の通り:XMLExternal Entities XXE 92%、脆弱なコンポーネント 90%、インジェクションの欠陥 89%。脆弱性別の最下位スコアは以下の通り:クロスサイト・リクエスト・フォージェリ 70%、大量割り当て 71%、ファイル・アップロードの脆弱性 71

CWE 最も危険なソフトウェアの弱点トップ25

Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアの弱点トップ25)リストは、現在最も一般的で影響力のあるソフトウェアの弱点を毎年開発者に提供しています。

Devlympics では、#1 CWE-787 Memory Corruption、#9 CWE-352 Cross-site Request Forgery、#10 CWE-434 File Upload が最も精度が低かった。 

SWE-89 SQL インジェクション」、「CWE-78 OS コマンドインジェクション」、「CWE-22 パストラバーサル」など、インジェクションに関連する脆弱性は、Devlympics の期間中、最も高いスコアを記録した CWE の一部です。これらの脆弱性は、開発者のスキルが向上するにつれて、CWE トップ 25 や OWASP トップ 10 のような業界のリストから順位を下げていくことが予想されます。


秩序の弱さ

結論

2023年のDevlympicsは、世界中の開発者がtournament に参加しながら取り組み、学んでいることを実証している。その影響は、出場することで感じる誇りだけでなく、実世界のシナリオによって、知識を保持し、実践から応用につなげることが容易になる。

Secure Code Warrior は、業界をリードするセキュアコード・アジャイルlearning platform であり、開発者がセキュアなコードを書くために必要なスキルを身につけることを支援します。

Secure Code Warrior を使えば、開発チームのために Devlympics のような独自のtournament運営することができます。チームを集めて、ゲーム化された楽しいコンペティションを行い、ソフトウェアの脆弱性の発見、特定、修正について学びましょう。

成長するコミュニティに参加しよう

私たちのビジョンは、セキュリティに精通した開発者のグローバルコミュニティを鼓舞し、予防的で安全なコーディング文化を受け入れることです。私たちの焦点は、攻撃、脅威、リスクの発生を最小限に抑えることでセキュリティの回復力を強化し、変化を促進し、革新し、加速できるようにすることです。コーチングとメンタリングは、当社の開発者コミュニティに参加する上で不可欠な要素であると考えています!

デブリンピックス2024に登録し、Xでフォローして最新情報を入手してください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。