これからのセキュアコーディングには、人的要素がどのように関わってくるのでしょうか?
.png)
.png)
サイバー脅威の数が増え続ける中、企業はセキュリティ、実用性、スピードの間で日々トレードオフを繰り返し、その過程でリスクにさらされています。そこでSecure Code Warriorは、Evans Data Corp.と協力して、開発者のセキュアコーディングに対する意識、セキュアコードの実践、およびセキュリティ運用に関する一次調査を実施 しました。 ここで).
今回のレポートで明らかになったのは、「旧態依然とした」反応型の考え方が依然として主流である一方で、開発者自身を第一の防御線とするような、よりプロアクティブなソリューションの必要性に対する認識が高まっているということです。
安全なコーディング手法の導入を検討する際には、まず、導入に関わる人間、人間の認識、人間の能力を理解することから始める必要があります。このことは、パズルの最も重要な部分につながります。つまり、どのようにすれば、最初からより安全なコーディングを行うことができ、自信を持って高品質のコードをより早く出荷することができるのか、ということです。
セキュアコーディング - 現在の状況と、何を変えなければならないか? ダウンロード インフォグラフィック「The Human Element」を今すぐダウンロードしてください。
現在の展望 - リアクティブとプロアクティブ
開発者と開発マネージャーに、安全なコーディングに関連する活動について尋ねたところ、トップ3の回答が得られました。
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを作成するための積極的かつ継続的な取り組み。
このように、上位3つの回答のうち、2つの回答は依然としてリアクティブなアプローチに焦点を当てています。1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うことです。
同時に、指名された3つの活動のうち2つは人間の要素に依存している。これは、セキュリティが人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。これは、SDLCの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
SDLCの中でセキュリティはどこに位置するのか?
開発者と開発マネージャに、SDLC のどこにセキュアコードの実践が組み込まれているかを尋ねたところ、意見が分かれました。管理者の55%は、安全なコードが開発プロセス全体に統合されていると考えていますが、開発者は43%にとどまりました。この違いは、SDLC におけるこれら 2 つのグループの役割の違いを反映しているのかもしれません。管理者は、一般的にコーディングの実際の作業にはあまり関与せず、より高いレベルの見解を持つ傾向があります。一方、開発者は、より本質的な部分に関心を持っているかもしれません。
しかし、全体的なセキュリティとコード品質の観点から見ると、憂慮すべきことは、開発者の13%と管理者の10%だけが、セキュアなコードプラクティスを設計段階、つまりSDLCの最初の段階で統合すべきだと答えていることです。これは、実現されていない大きなチャンスです。IBMの調査によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて、30倍のコストがかかるという結果が出ています。ソフトウェアセキュリティは、ツールに頼るだけでは解決できません。
人的要素は準備されていますか?
調査対象となった開発者の97%は、安全なコーディングに関する十分なトレーニングを受けたと考えており、95%は安全なコーディングに関するトレーニングが自分のキャリアにとって価値があったと考えています。しかし、これらの主張を鵜呑みにする前に、次のような疑問を持つ必要があります。「コードの脆弱性はなぜこれほどまでに蔓延しているのか?開発者が安全なコードの専門家であると主張するのは、人間のエゴなのでしょうか?確かに、証拠はこの方向を示しています。また、開発管理者の91%が、安全なコーディングの実施は難しいと回答しています。セキュアコードの実装に関する個人的な関心事を尋ねたところ、28%の開発者が学習プロセスを困難だと感じ、24%が学習プロセスを退屈だと感じています。これは、開発者のトレーニングを改善する必要があることを示しています。
人的要素には何が必要か?
この「困難」な要素を克服するために、価値のあるセキュアなトレーニングには、開発者が段階的にセキュアなコーディングスキルを身につけられるようにサポートする「足場」のプロセスが必要です。関連性を高め、すぐに適用できるようにするためには、そのトレーニングは、開発者が日常的に使用している特定の言語やフレームワークで行われるべきです。
退屈」という要素を克服するためには、セキュアコードトレーニングを実践的な方法で提供する必要があります。これは、時代遅れの教室や「このビデオを見る」モデルよりも、はるかに開発者の興味を引くことが証明されています。これらのトレーニングには、開発者が安全な環境で、時には危険なセキュリティ上の課題に取り組むことができるライブ・シミュレーションが含まれます。その目的は、開発者が作業中にコードの脆弱性を発見して修正する方法を教え、安全なコーディングを日々のフローの一部にすることです。もう一つの重要な要素は、IDE内でのリンティングとコーチングです。これにより、開発者はコードを書きながら常に学習し、スキルアップすることができ、作業中に脆弱性を防ぎ、排除することができます。
開発者を中心としたこの新しいレベルのツールとトレーニングを開発者に提供する方法を知りたい方は、今すぐこちらをご覧ください。 デモの予約
ご覧ください。 資料のダウンロード ホワイトペーパー「Shifting from Reaction to Prevention」をご覧ください。The changing face of application security.
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
これからのセキュアコーディングには、人的要素がどのように関わってくるのでしょうか?
サイバー脅威の数が増え続ける中、企業はセキュリティ、実用性、スピードの間で日々トレードオフを繰り返し、その過程でリスクにさらされています。そこでSecure Code Warriorは、Evans Data Corp.と協力して、開発者のセキュアコーディングに対する意識、セキュアコードの実践、およびセキュリティ運用に関する一次調査を実施 しました。 ここで).
今回のレポートで明らかになったのは、「旧態依然とした」反応型の考え方が依然として主流である一方で、開発者自身を第一の防御線とするような、よりプロアクティブなソリューションの必要性に対する認識が高まっているということです。
安全なコーディング手法の導入を検討する際には、まず、導入に関わる人間、人間の認識、人間の能力を理解することから始める必要があります。このことは、パズルの最も重要な部分につながります。つまり、どのようにすれば、最初からより安全なコーディングを行うことができ、自信を持って高品質のコードをより早く出荷することができるのか、ということです。
セキュアコーディング - 現在の状況と、何を変えなければならないか? ダウンロード インフォグラフィック「The Human Element」を今すぐダウンロードしてください。
現在の展望 - リアクティブとプロアクティブ
開発者と開発マネージャーに、安全なコーディングに関連する活動について尋ねたところ、トップ3の回答が得られました。
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを作成するための積極的かつ継続的な取り組み。
このように、上位3つの回答のうち、2つの回答は依然としてリアクティブなアプローチに焦点を当てています。1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うことです。
同時に、指名された3つの活動のうち2つは人間の要素に依存している。これは、セキュリティが人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。これは、SDLCの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
SDLCの中でセキュリティはどこに位置するのか?
開発者と開発マネージャに、SDLC のどこにセキュアコードの実践が組み込まれているかを尋ねたところ、意見が分かれました。管理者の55%は、安全なコードが開発プロセス全体に統合されていると考えていますが、開発者は43%にとどまりました。この違いは、SDLC におけるこれら 2 つのグループの役割の違いを反映しているのかもしれません。管理者は、一般的にコーディングの実際の作業にはあまり関与せず、より高いレベルの見解を持つ傾向があります。一方、開発者は、より本質的な部分に関心を持っているかもしれません。
しかし、全体的なセキュリティとコード品質の観点から見ると、憂慮すべきことは、開発者の13%と管理者の10%だけが、セキュアなコードプラクティスを設計段階、つまりSDLCの最初の段階で統合すべきだと答えていることです。これは、実現されていない大きなチャンスです。IBMの調査によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて、30倍のコストがかかるという結果が出ています。ソフトウェアセキュリティは、ツールに頼るだけでは解決できません。
人的要素は準備されていますか?
調査対象となった開発者の97%は、安全なコーディングに関する十分なトレーニングを受けたと考えており、95%は安全なコーディングに関するトレーニングが自分のキャリアにとって価値があったと考えています。しかし、これらの主張を鵜呑みにする前に、次のような疑問を持つ必要があります。「コードの脆弱性はなぜこれほどまでに蔓延しているのか?開発者が安全なコードの専門家であると主張するのは、人間のエゴなのでしょうか?確かに、証拠はこの方向を示しています。また、開発管理者の91%が、安全なコーディングの実施は難しいと回答しています。セキュアコードの実装に関する個人的な関心事を尋ねたところ、28%の開発者が学習プロセスを困難だと感じ、24%が学習プロセスを退屈だと感じています。これは、開発者のトレーニングを改善する必要があることを示しています。
人的要素には何が必要か?
この「困難」な要素を克服するために、価値のあるセキュアなトレーニングには、開発者が段階的にセキュアなコーディングスキルを身につけられるようにサポートする「足場」のプロセスが必要です。関連性を高め、すぐに適用できるようにするためには、そのトレーニングは、開発者が日常的に使用している特定の言語やフレームワークで行われるべきです。
退屈」という要素を克服するためには、セキュアコードトレーニングを実践的な方法で提供する必要があります。これは、時代遅れの教室や「このビデオを見る」モデルよりも、はるかに開発者の興味を引くことが証明されています。これらのトレーニングには、開発者が安全な環境で、時には危険なセキュリティ上の課題に取り組むことができるライブ・シミュレーションが含まれます。その目的は、開発者が作業中にコードの脆弱性を発見して修正する方法を教え、安全なコーディングを日々のフローの一部にすることです。もう一つの重要な要素は、IDE内でのリンティングとコーチングです。これにより、開発者はコードを書きながら常に学習し、スキルアップすることができ、作業中に脆弱性を防ぎ、排除することができます。
開発者を中心としたこの新しいレベルのツールとトレーニングを開発者に提供する方法を知りたい方は、今すぐこちらをご覧ください。 デモの予約
ご覧ください。 資料のダウンロード ホワイトペーパー「Shifting from Reaction to Prevention」をご覧ください。The changing face of application security.
