開発者の67％が脆弱性のあるコードを出荷していることを認めていることをご存知だろうか？家を建てることになった建設作業員のチームを想像してみてほしい。彼らは必要な材料や道具はすべて持っているが、設計図や建築基準法に従うのに苦労している。その結果、彼らはミスを犯し、家は規格通りに建てられない。

この例えは、開発者がセキュアコーディングを実践しようとするときに直面する課題を説明するために使うことができる。建設作業員が、自分たちの家が安全であることを保証するために、設計図や建築基準法に従う必要があるのと同じように、開発者は、自分たちのソフトウェアアプリケーションが安全であることを保証するために、セキュアコーディングの実践に従う必要があるのです。

セキュアコーディングが困難な理由はいくつかあります。以下がその例です：

• セキュアコーディングの実践に対する認識不足。開発者の86%が、セキュアコーディングを実践するのは難しいと回答している。
• 時間とリソースの不足。アンケートの回答者の24%が、「時間が足りない」ことがセキュアなコードの統合を妨げる最大の要因であると回答しています。
• セキュアコーディングの複雑さ。開発者の63%が、脆弱性のないセキュアなコードを書くのは難しいと評価している。
• ツールへの過度の依存。アプリケーション・セキュリティ・チームの57％が、DevSecOpsのライフサイクル中に脆弱性を発見するために6つ以上のツールを利用している。(GitLab、2023年）

しかし、課題にもかかわらず、安全なコーディングは不可欠です。セキュアなコーディングの実践に従うことで、開発者は攻撃者に悪用される脆弱性からアプリケーションを保護することができます。よく建てられた家が倒壊しにくいように、よくコーディングされたアプリケーションはハッキングされにくいのです。

ここでは、セキュアなコーディングの実践を改善したい開発者のためのヒントをいくつか紹介する：

• セキュアコーディングに関するトレーニングや教育を受ける。開発者がセキュアコーディングの実践について学ぶのに役立つリソースは数多くあります。
• 静的解析ツールを使ってコードの脆弱性を特定する。静的解析ツールは、手作業では見つけにくいコードの脆弱性を特定するのに役立つ。
• レビューしやすく、理解しやすいコードを書く。レビューしやすく理解しやすいコードは、安全なコードである可能性が高い。
• コードを徹底的にテストする。コードをテストすることで、脆弱性が悪用される前に特定し、修正することができる。

もっと知りたいですか？当社のセキュアコード学習ブループリントで、アジャイルでセキュアなコーディング戦略を開発する秘訣を解き明かしてください。 

‍

‍

‍

‍