セキュリティ」は汚い言葉ではない:ポジティブなアプローチでセキュリティプログラムを変革する方法
原文は以下の通りです。 DevSecConブログ.
双方の立場に立ってみて、セキュリティのベストプラクティスを守ることに関して、開発チームとAppSecのスペシャリストの間に起こりうる緊張感をよく理解しています。
難しいですね。結局のところ、開発者の最優先事項はソフトウェアの機能を提供することです。これらの機能は、美しく、機能的で、アプリケーションのパワーをアピールするものでなければなりません。最近では、アジャイル開発が一般的に行われているため、これらの機能は厳しい納期に合わせて完成させなければなりません...そして、他の多くの問題がある中で、セキュリティが高い関心事になることはほとんどありません。
セキュリティはAppSecチームの領域と考えられています。AppSecチームはコードをスキャンして(もっとひどい場合は、一行ずつ手作業でレビューして)、コードが安全でない、あるいはまったく使用できないと開発チームに報告するという、気の遠くなるような仕事をしています。彼らは、自分たちの良い仕事を邪魔し、イノベーションを妨げ、開発者の頭痛の種となる泥まみれの棒です。結局のところ、多くのセキュリティ問題は簡単に解決できるものです。おそらく、たった1行のコードが数分で脆弱なバックドアを強化してしまうでしょう。
しかし、ここに問題があります。セキュリティ」があまりにもネガティブな代名詞になっているため、開発者は必要以上にセキュリティに関与していないのです。結局、AppSecの担当者は常に同じ問題に直面しているのです。私たちがSQLインジェクションの欠陥を発見してから(そしてその後の修正から)20年以上経ってもなお、彼らがSQLインジェクションの欠陥を指摘し続けるのは、非常に気が重いことでしょう。
私たちがこれまでに行ってきたことは、私たちが期待したほど効果的ではありませんでした。私たちは、開発者とAppSecスペシャリストの間の橋を修復することに焦点を当て、開発者がこの分野で真の影響を与えるためのツールとトレーニングを与えられるような、前向きなセキュリティ文化を目指していく必要があります。
誰にもわからない。私のように好きになってくれるかもしれません。
ポジティブなセキュリティは、アプリケーションのセキュリティを向上させる最も早くて簡単な方法です。
そしてそれは、無形の成果をもたらすうわべだけのものではありません。セキュアコーディングを成功させるためには、絶対に欠かせない要素なのです。
開発者は、最初に安全なコードを書くことによって、生産の最初の段階からセキュリティを向上させる鍵を握っています。積極的なセキュリティ文化を創造し、開発者がアプリケーション・セキュリティに関心を持つようにすることで、一般的な脆弱性は、AppSecランドのスキャンや手動のコードレビューにかけられる前に一掃することができます。
すでにコミットされているコードの脆弱性を修正するには、30倍のコストがかかります。ですから、開発者の強みを活かし、興味を引き、実際に効果のあるトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来的なコスト削減の大きな一歩となります。
開発者を中心とした前向きな取り組みが、適切なセキュリティ文化を育みます。
全員がセキュリティのベスト・プラクティスを理解していれば、ポジティブなセキュリティ・カルチャーは幸せで重要な副産物となります。
開発者を中心としたポジティブでスケーラブルな取り組みが、適切なセキュリティ文化を育みます。開発者の問題解決能力と創造性を引き出すことは、開発者を獲得するために不可欠であり、また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにするためにも必要です。開発者とセキュリティの関係がどのように進化してきたのか、また、お客様の組織でセキュリティ意識向上プログラムを成功させるためのアイデアについては、こちらまでお問い合わせください。
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
原文は以下の通りです。 DevSecConブログ.
双方の立場に立ってみて、セキュリティのベストプラクティスを守ることに関して、開発チームとAppSecのスペシャリストの間に起こりうる緊張感をよく理解しています。
難しいですね。結局のところ、開発者の最優先事項はソフトウェアの機能を提供することです。これらの機能は、美しく、機能的で、アプリケーションのパワーをアピールするものでなければなりません。最近では、アジャイル開発が一般的に行われているため、これらの機能は厳しい納期に合わせて完成させなければなりません...そして、他の多くの問題がある中で、セキュリティが高い関心事になることはほとんどありません。
セキュリティはAppSecチームの領域と考えられています。AppSecチームはコードをスキャンして(もっとひどい場合は、一行ずつ手作業でレビューして)、コードが安全でない、あるいはまったく使用できないと開発チームに報告するという、気の遠くなるような仕事をしています。彼らは、自分たちの良い仕事を邪魔し、イノベーションを妨げ、開発者の頭痛の種となる泥まみれの棒です。結局のところ、多くのセキュリティ問題は簡単に解決できるものです。おそらく、たった1行のコードが数分で脆弱なバックドアを強化してしまうでしょう。
しかし、ここに問題があります。セキュリティ」があまりにもネガティブな代名詞になっているため、開発者は必要以上にセキュリティに関与していないのです。結局、AppSecの担当者は常に同じ問題に直面しているのです。私たちがSQLインジェクションの欠陥を発見してから(そしてその後の修正から)20年以上経ってもなお、彼らがSQLインジェクションの欠陥を指摘し続けるのは、非常に気が重いことでしょう。
私たちがこれまでに行ってきたことは、私たちが期待したほど効果的ではありませんでした。私たちは、開発者とAppSecスペシャリストの間の橋を修復することに焦点を当て、開発者がこの分野で真の影響を与えるためのツールとトレーニングを与えられるような、前向きなセキュリティ文化を目指していく必要があります。
誰にもわからない。私のように好きになってくれるかもしれません。
ポジティブなセキュリティは、アプリケーションのセキュリティを向上させる最も早くて簡単な方法です。
そしてそれは、無形の成果をもたらすうわべだけのものではありません。セキュアコーディングを成功させるためには、絶対に欠かせない要素なのです。
開発者は、最初に安全なコードを書くことによって、生産の最初の段階からセキュリティを向上させる鍵を握っています。積極的なセキュリティ文化を創造し、開発者がアプリケーション・セキュリティに関心を持つようにすることで、一般的な脆弱性は、AppSecランドのスキャンや手動のコードレビューにかけられる前に一掃することができます。
すでにコミットされているコードの脆弱性を修正するには、30倍のコストがかかります。ですから、開発者の強みを活かし、興味を引き、実際に効果のあるトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来的なコスト削減の大きな一歩となります。
開発者を中心とした前向きな取り組みが、適切なセキュリティ文化を育みます。
全員がセキュリティのベスト・プラクティスを理解していれば、ポジティブなセキュリティ・カルチャーは幸せで重要な副産物となります。
開発者を中心としたポジティブでスケーラブルな取り組みが、適切なセキュリティ文化を育みます。開発者の問題解決能力と創造性を引き出すことは、開発者を獲得するために不可欠であり、また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにするためにも必要です。開発者とセキュリティの関係がどのように進化してきたのか、また、お客様の組織でセキュリティ意識向上プログラムを成功させるためのアイデアについては、こちらまでお問い合わせください。
原文は以下の通りです。 DevSecConブログ.
双方の立場に立ってみて、セキュリティのベストプラクティスを守ることに関して、開発チームとAppSecのスペシャリストの間に起こりうる緊張感をよく理解しています。
難しいですね。結局のところ、開発者の最優先事項はソフトウェアの機能を提供することです。これらの機能は、美しく、機能的で、アプリケーションのパワーをアピールするものでなければなりません。最近では、アジャイル開発が一般的に行われているため、これらの機能は厳しい納期に合わせて完成させなければなりません...そして、他の多くの問題がある中で、セキュリティが高い関心事になることはほとんどありません。
セキュリティはAppSecチームの領域と考えられています。AppSecチームはコードをスキャンして(もっとひどい場合は、一行ずつ手作業でレビューして)、コードが安全でない、あるいはまったく使用できないと開発チームに報告するという、気の遠くなるような仕事をしています。彼らは、自分たちの良い仕事を邪魔し、イノベーションを妨げ、開発者の頭痛の種となる泥まみれの棒です。結局のところ、多くのセキュリティ問題は簡単に解決できるものです。おそらく、たった1行のコードが数分で脆弱なバックドアを強化してしまうでしょう。
しかし、ここに問題があります。セキュリティ」があまりにもネガティブな代名詞になっているため、開発者は必要以上にセキュリティに関与していないのです。結局、AppSecの担当者は常に同じ問題に直面しているのです。私たちがSQLインジェクションの欠陥を発見してから(そしてその後の修正から)20年以上経ってもなお、彼らがSQLインジェクションの欠陥を指摘し続けるのは、非常に気が重いことでしょう。
私たちがこれまでに行ってきたことは、私たちが期待したほど効果的ではありませんでした。私たちは、開発者とAppSecスペシャリストの間の橋を修復することに焦点を当て、開発者がこの分野で真の影響を与えるためのツールとトレーニングを与えられるような、前向きなセキュリティ文化を目指していく必要があります。
誰にもわからない。私のように好きになってくれるかもしれません。
ポジティブなセキュリティは、アプリケーションのセキュリティを向上させる最も早くて簡単な方法です。
そしてそれは、無形の成果をもたらすうわべだけのものではありません。セキュアコーディングを成功させるためには、絶対に欠かせない要素なのです。
開発者は、最初に安全なコードを書くことによって、生産の最初の段階からセキュリティを向上させる鍵を握っています。積極的なセキュリティ文化を創造し、開発者がアプリケーション・セキュリティに関心を持つようにすることで、一般的な脆弱性は、AppSecランドのスキャンや手動のコードレビューにかけられる前に一掃することができます。
すでにコミットされているコードの脆弱性を修正するには、30倍のコストがかかります。ですから、開発者の強みを活かし、興味を引き、実際に効果のあるトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来的なコスト削減の大きな一歩となります。
開発者を中心とした前向きな取り組みが、適切なセキュリティ文化を育みます。
全員がセキュリティのベスト・プラクティスを理解していれば、ポジティブなセキュリティ・カルチャーは幸せで重要な副産物となります。
開発者を中心としたポジティブでスケーラブルな取り組みが、適切なセキュリティ文化を育みます。開発者の問題解決能力と創造性を引き出すことは、開発者を獲得するために不可欠であり、また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにするためにも必要です。開発者とセキュリティの関係がどのように進化してきたのか、また、お客様の組織でセキュリティ意識向上プログラムを成功させるためのアイデアについては、こちらまでお問い合わせください。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Jaap Karan Singhは、Secure Coding Evangelistであり、Chief Singhであり、Secure Code Warrior の共同設立者です。
原文は以下の通りです。 DevSecConブログ.
双方の立場に立ってみて、セキュリティのベストプラクティスを守ることに関して、開発チームとAppSecのスペシャリストの間に起こりうる緊張感をよく理解しています。
難しいですね。結局のところ、開発者の最優先事項はソフトウェアの機能を提供することです。これらの機能は、美しく、機能的で、アプリケーションのパワーをアピールするものでなければなりません。最近では、アジャイル開発が一般的に行われているため、これらの機能は厳しい納期に合わせて完成させなければなりません...そして、他の多くの問題がある中で、セキュリティが高い関心事になることはほとんどありません。
セキュリティはAppSecチームの領域と考えられています。AppSecチームはコードをスキャンして(もっとひどい場合は、一行ずつ手作業でレビューして)、コードが安全でない、あるいはまったく使用できないと開発チームに報告するという、気の遠くなるような仕事をしています。彼らは、自分たちの良い仕事を邪魔し、イノベーションを妨げ、開発者の頭痛の種となる泥まみれの棒です。結局のところ、多くのセキュリティ問題は簡単に解決できるものです。おそらく、たった1行のコードが数分で脆弱なバックドアを強化してしまうでしょう。
しかし、ここに問題があります。セキュリティ」があまりにもネガティブな代名詞になっているため、開発者は必要以上にセキュリティに関与していないのです。結局、AppSecの担当者は常に同じ問題に直面しているのです。私たちがSQLインジェクションの欠陥を発見してから(そしてその後の修正から)20年以上経ってもなお、彼らがSQLインジェクションの欠陥を指摘し続けるのは、非常に気が重いことでしょう。
私たちがこれまでに行ってきたことは、私たちが期待したほど効果的ではありませんでした。私たちは、開発者とAppSecスペシャリストの間の橋を修復することに焦点を当て、開発者がこの分野で真の影響を与えるためのツールとトレーニングを与えられるような、前向きなセキュリティ文化を目指していく必要があります。
誰にもわからない。私のように好きになってくれるかもしれません。
ポジティブなセキュリティは、アプリケーションのセキュリティを向上させる最も早くて簡単な方法です。
そしてそれは、無形の成果をもたらすうわべだけのものではありません。セキュアコーディングを成功させるためには、絶対に欠かせない要素なのです。
開発者は、最初に安全なコードを書くことによって、生産の最初の段階からセキュリティを向上させる鍵を握っています。積極的なセキュリティ文化を創造し、開発者がアプリケーション・セキュリティに関心を持つようにすることで、一般的な脆弱性は、AppSecランドのスキャンや手動のコードレビューにかけられる前に一掃することができます。
すでにコミットされているコードの脆弱性を修正するには、30倍のコストがかかります。ですから、開発者の強みを活かし、興味を引き、実際に効果のあるトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来的なコスト削減の大きな一歩となります。
開発者を中心とした前向きな取り組みが、適切なセキュリティ文化を育みます。
全員がセキュリティのベスト・プラクティスを理解していれば、ポジティブなセキュリティ・カルチャーは幸せで重要な副産物となります。
開発者を中心としたポジティブでスケーラブルな取り組みが、適切なセキュリティ文化を育みます。開発者の問題解決能力と創造性を引き出すことは、開発者を獲得するために不可欠であり、また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにするためにも必要です。開発者とセキュリティの関係がどのように進化してきたのか、また、お客様の組織でセキュリティ意識向上プログラムを成功させるためのアイデアについては、こちらまでお問い合わせください。
始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
.png)
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.