セキュリティチャンピオンへの道Workday 社がアジャイル学習を活用して開発者のスキルアップを図った方法
状況
Workday 社がSecure Code Warrior を使ってアジャイル学習を導入する前は、社内でcourses を利用していました。 は、OWASP トップ 10 脆弱性をいくつかの疑似コード例とともに取り上げた PowerPoint プレゼンテーションの録画で構成されていました。セキュリティ開発者トレーニングのプログラムマネージャーである Alex Uda 氏は、これでは自分のチームとセキュリティチーム全体が Workday の全体的なセキュリティ体制を改善するという目標を達成できないことに気づいた。開発者はすぐにトレーニングに参加しなくなったため、彼らはフィードバックを募集し始めることにしました:
- より実践的なトレーニングの必要性
- より多くの言語に特化したコンテンツの必要性
アクション
アレックスと彼のチームは、開発者と協力して、魅力的で成功するセキュアなコード学習プログラムを作成するために、開発者の賛同を得るための2つの主な優先事項を特定した。
明快さとシンプルさ
ほとんどの開発者は、セキュリティの知識を持って仕事に就いているわけではない。フラストレーションや時間のかかることは、開発者を回避策やハックに向かわせる。Workday が SCW について指摘したのは、開発者がプロセスを明確に認識し、自分のものとし、ワークフローに組み込むことができるという点です。
行動力と価値
開発者は、何よりもまず、コードベース/ライフサイクルに影響を与えている何かを、迅速に対処できることを望んでいる。そのためには、開発者はその方法について教育される必要がある。開発者にセキュリティのようなことに興味を持ってもらいたいのであれば、このようなトピックの価値を強調することです。
プログラムの構成に関して、アレックスと彼のチームはまず、セキュリティ・チャンピオンのパイロット・グループからプラットフォームに関するフィードバックを集め、カスタマー・サクセス・マネージャーと協力して彼らの提案を実施した。次にアレックスとチームは、自社のSASTツールとインシデントやセキュリティ・イベントの数に関するさまざまな指標を調べ、現在の環境で最も高いリスクは何か、業界全体で何が起きているかを評価した。彼らはまず、OWASP トップ 10 と、Workday
で最も一般的でリスクの高い脆弱性に焦点を当てました。
「SCWのおかげで、開発者たちは積極的にソフトウェア・セキュリティの改善に取り組むことができました。コードを書くことがすべてではなく、成長の機会やキャリアの機会も重要です。Workdayのセキュリティプログラムに対するサポートは、会社全体が連携している分野だからこそ存在するものであり、開発者には学習と開発のための時間が許されていました。週に2時間、一定期間にわたって学習を行うことで、一貫性を持って筋肉を記憶させることができます」
。
結果
従来、セキュリティは開発プロセスの最終段階にあると考えがちでした。セキュリティチームと協働することで、Workday の開発者はセキュリティを開発サイクルの重要なコンポーネントと見なすようになりました。彼らはセキュリティ項目を SDLC の早い段階で迅速に対処できるようになり、これがこのプログラムの最大の影響である。ダブリンに本拠を置くあるチームでは、開発者は 4662 件のセキュリティ問題(1 日平均約 31.08 件)を抱えていたのが、約 18 ヶ月の間に 0 件になった。
アレックスは、このプログラムの成長について、「セキュリティ・チャンピオンのトップ・オブ・マインドで始めた後、雪だるま式に増えていった」と説明した。このプログラムとその利点をリーダーシップに浸透させ、会員を増やし続けるうちに、口コミで自然に増えていきました。トレーニングの観点から見ると、私たちの目標は、開発者が安全にコードを開発するために必要なスキルを身につけることです。これは、Workday が成長を続ける中で特に重要なことです。"
要点
アレックスによれば、 「セキュリティの拡張を成功させるためには、ソフトウェア開発の設計段階でセキュリティ・リスクを特定できるよう、開発者がセキュリティの考え方を持つことが不可欠です。 これは、開発者に権限を与え、時間とコスト、そして多少の心痛を節約することを支援するという、当社の左遷イニシアチブに適合しています。セキュアなコード学習がうまくいけばいくほど、スキャンやペンテストの結果で見られる脆弱性は少なくなります。"
開発者にとって、セキュリティについて学ぶときに楽しむことは重要 だ。
SCWは、それがいかにエキサイティングなものであるかを示すのに優れている。もしあなたがセキュリティの学習に参加するのであれば、それを全面的に受け入れてください。開発プロセスの一部であり、キャリアアップの一部であると考えてください。
開発者がセキュリティに興味を持ったら、チームに連絡するよう奨励する。
会話をし、コラボレーションを始める。
セキュリティをブラックボックス化したり、プロジェクトにボルトオンしたりすることは、古臭く、最終的にはソフトウェアに不利益をもたらす。
TDD、アジャイル、リンティングを取り入れるのと同じように、セキュリティを開発プロセスの一部として取り入れることで、顧客に提供するソフトウェアのフローを改善し、品質を向上させることができる。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
セキュリティチャンピオンへの道Workday 社がアジャイル学習を活用して開発者のスキルアップを図った方法
状況
Workday 社がSecure Code Warrior を使ってアジャイル学習を導入する前は、社内でcourses を利用していました。 は、OWASP トップ 10 脆弱性をいくつかの疑似コード例とともに取り上げた PowerPoint プレゼンテーションの録画で構成されていました。セキュリティ開発者トレーニングのプログラムマネージャーである Alex Uda 氏は、これでは自分のチームとセキュリティチーム全体が Workday の全体的なセキュリティ体制を改善するという目標を達成できないことに気づいた。開発者はすぐにトレーニングに参加しなくなったため、彼らはフィードバックを募集し始めることにしました:
- より実践的なトレーニングの必要性
- より多くの言語に特化したコンテンツの必要性
アクション
アレックスと彼のチームは、開発者と協力して、魅力的で成功するセキュアなコード学習プログラムを作成するために、開発者の賛同を得るための2つの主な優先事項を特定した。
明快さとシンプルさ
ほとんどの開発者は、セキュリティの知識を持って仕事に就いているわけではない。フラストレーションや時間のかかることは、開発者を回避策やハックに向かわせる。Workday が SCW について指摘したのは、開発者がプロセスを明確に認識し、自分のものとし、ワークフローに組み込むことができるという点です。
行動力と価値
開発者は、何よりもまず、コードベース/ライフサイクルに影響を与えている何かを、迅速に対処できることを望んでいる。そのためには、開発者はその方法について教育される必要がある。開発者にセキュリティのようなことに興味を持ってもらいたいのであれば、このようなトピックの価値を強調することです。
プログラムの構成に関して、アレックスと彼のチームはまず、セキュリティ・チャンピオンのパイロット・グループからプラットフォームに関するフィードバックを集め、カスタマー・サクセス・マネージャーと協力して彼らの提案を実施した。次にアレックスとチームは、自社のSASTツールとインシデントやセキュリティ・イベントの数に関するさまざまな指標を調べ、現在の環境で最も高いリスクは何か、業界全体で何が起きているかを評価した。彼らはまず、OWASP トップ 10 と、Workday
で最も一般的でリスクの高い脆弱性に焦点を当てました。
「SCWのおかげで、開発者たちは積極的にソフトウェア・セキュリティの改善に取り組むことができました。コードを書くことがすべてではなく、成長の機会やキャリアの機会も重要です。Workdayのセキュリティプログラムに対するサポートは、会社全体が連携している分野だからこそ存在するものであり、開発者には学習と開発のための時間が許されていました。週に2時間、一定期間にわたって学習を行うことで、一貫性を持って筋肉を記憶させることができます」
。
結果
従来、セキュリティは開発プロセスの最終段階にあると考えがちでした。セキュリティチームと協働することで、Workday の開発者はセキュリティを開発サイクルの重要なコンポーネントと見なすようになりました。彼らはセキュリティ項目を SDLC の早い段階で迅速に対処できるようになり、これがこのプログラムの最大の影響である。ダブリンに本拠を置くあるチームでは、開発者は 4662 件のセキュリティ問題(1 日平均約 31.08 件)を抱えていたのが、約 18 ヶ月の間に 0 件になった。
アレックスは、このプログラムの成長について、「セキュリティ・チャンピオンのトップ・オブ・マインドで始めた後、雪だるま式に増えていった」と説明した。このプログラムとその利点をリーダーシップに浸透させ、会員を増やし続けるうちに、口コミで自然に増えていきました。トレーニングの観点から見ると、私たちの目標は、開発者が安全にコードを開発するために必要なスキルを身につけることです。これは、Workday が成長を続ける中で特に重要なことです。"
要点
アレックスによれば、 「セキュリティの拡張を成功させるためには、ソフトウェア開発の設計段階でセキュリティ・リスクを特定できるよう、開発者がセキュリティの考え方を持つことが不可欠です。 これは、開発者に権限を与え、時間とコスト、そして多少の心痛を節約することを支援するという、当社の左遷イニシアチブに適合しています。セキュアなコード学習がうまくいけばいくほど、スキャンやペンテストの結果で見られる脆弱性は少なくなります。"
開発者にとって、セキュリティについて学ぶときに楽しむことは重要 だ。
SCWは、それがいかにエキサイティングなものであるかを示すのに優れている。もしあなたがセキュリティの学習に参加するのであれば、それを全面的に受け入れてください。開発プロセスの一部であり、キャリアアップの一部であると考えてください。
開発者がセキュリティに興味を持ったら、チームに連絡するよう奨励する。
会話をし、コラボレーションを始める。
セキュリティをブラックボックス化したり、プロジェクトにボルトオンしたりすることは、古臭く、最終的にはソフトウェアに不利益をもたらす。
TDD、アジャイル、リンティングを取り入れるのと同じように、セキュリティを開発プロセスの一部として取り入れることで、顧客に提供するソフトウェアのフローを改善し、品質を向上させることができる。
