リアクションからプリベンションへの転換
ソフトウェア開発とセキュリティの分野で私たちが直面している課題の一つは、過去20年間、同じような、あるいは現在のソフトウェアの脆弱性を目にしてきたことだと思います。静的なコード解析を行っても、脆弱性評価や侵入テストを行っても、同じ問題が異なる技術やコードの異なる部分で繰り返し発生しています。
静的コード解析にしても、脆弱性評価や侵入テストにしても、これらの技術は問題点を指摘するだけで、実際に手を動かして解決する方法を教えてくれないことが多いというのが、2つ目の課題だと思います。ソフトウェアのセキュリティ問題の再発を防ぐだけでなく、ソフトウェア開発サイクルの中で迅速に解決したいと考えているからです。
Secure Code Warrior では、開発者の開発プロセスやツールに統合しようとしています。それは、ソフトウェア開発者との関連性を高め、文脈に沿ったものにしたいからです。私たちは、開発者が実際の問題を解決するために、コーチングやガイドをする手助けをしたいと考えています。また、チケッティングシステムへの統合もその一例です。静的コード解析ツールやペンテストによってセキュリティバグが発見されたとき、私たちは開発者と一緒になって、関連するコーディングパターンや、特定のコーディング言語でこの問題を迅速に解決する方法についての情報を提供したいと考えています。このように、私たちは、開発者が実際に必要とするときに、私たちを本当にコンテクストに沿った存在にしたいのです。sensei のような技術を使えば、開発者のIDEの中でコンテクストに沿ったサービスを提供することができます。新入社員や若手の開発者が、セキュリティの脆弱性につながるようなコーディングを行っていることに気づいたとき、私たちは実際にそこにいて、問題を検出してその場でトレーニングを行うだけでなく、その問題を迅速に解決するためのガイダンスを提供し、さらにはIDE内で自動的にコードを書き換えることができるようにしたいと考えています。このようにして、私たちは関連性の高いコンテクストを提供するとともに、開発者が自分のチームで安全なコードを作成するための修正方法を、彼らのコーディング言語でソリューションとして提供したいと考えています。
ですから、私たちの最終的な目標は、開発者のDNAにセキュリティを組み込むことです。私たちは左にシフトしたいのではなく、左からスタートしています。私たちは開発者を助け、最初から安全なコードを書けるようにしたいのです。そのために、開発者が使用しているコーディングや言語に特化した、実践的なゲーミフィケーションや楽しい学習体験を提供する環境を構築しているのです。開発者が安全なコードを迅速に書けるように、セキュリティを構築的で前向きな楽しい経験にしたいのです。
では、なぜ開発者はSecure Code Warrior が好きなのでしょうか?リアクトでコーディングするフロントエンド開発者、Javaやswiftでコーディングするモバイル開発者、あるいはCOBOLやRPG、JavaやC#に注力する昔ながらの開発者など、基本的にはそれぞれのコーディング言語やフレームワークでのスキルアップを支援していますので、実践的な方法でセキュリティを理解し、怖くない、学ぶのが楽しいものにすることができます。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
ソフトウェア開発とセキュリティの分野で私たちが直面している課題の一つは、過去20年間、同じような、あるいは現在のソフトウェアの脆弱性を目にしてきたことだと思います。静的なコード解析を行っても、脆弱性評価や侵入テストを行っても、同じ問題が異なる技術やコードの異なる部分で繰り返し発生しています。
静的コード解析にしても、脆弱性評価や侵入テストにしても、これらの技術は問題点を指摘するだけで、実際に手を動かして解決する方法を教えてくれないことが多いというのが、2つ目の課題だと思います。ソフトウェアのセキュリティ問題の再発を防ぐだけでなく、ソフトウェア開発サイクルの中で迅速に解決したいと考えているからです。
Secure Code Warrior では、開発者の開発プロセスやツールに統合しようとしています。それは、ソフトウェア開発者との関連性を高め、文脈に沿ったものにしたいからです。私たちは、開発者が実際の問題を解決するために、コーチングやガイドをする手助けをしたいと考えています。また、チケッティングシステムへの統合もその一例です。静的コード解析ツールやペンテストによってセキュリティバグが発見されたとき、私たちは開発者と一緒になって、関連するコーディングパターンや、特定のコーディング言語でこの問題を迅速に解決する方法についての情報を提供したいと考えています。このように、私たちは、開発者が実際に必要とするときに、私たちを本当にコンテクストに沿った存在にしたいのです。sensei のような技術を使えば、開発者のIDEの中でコンテクストに沿ったサービスを提供することができます。新入社員や若手の開発者が、セキュリティの脆弱性につながるようなコーディングを行っていることに気づいたとき、私たちは実際にそこにいて、問題を検出してその場でトレーニングを行うだけでなく、その問題を迅速に解決するためのガイダンスを提供し、さらにはIDE内で自動的にコードを書き換えることができるようにしたいと考えています。このようにして、私たちは関連性の高いコンテクストを提供するとともに、開発者が自分のチームで安全なコードを作成するための修正方法を、彼らのコーディング言語でソリューションとして提供したいと考えています。
ですから、私たちの最終的な目標は、開発者のDNAにセキュリティを組み込むことです。私たちは左にシフトしたいのではなく、左からスタートしています。私たちは開発者を助け、最初から安全なコードを書けるようにしたいのです。そのために、開発者が使用しているコーディングや言語に特化した、実践的なゲーミフィケーションや楽しい学習体験を提供する環境を構築しているのです。開発者が安全なコードを迅速に書けるように、セキュリティを構築的で前向きな楽しい経験にしたいのです。
では、なぜ開発者はSecure Code Warrior が好きなのでしょうか?リアクトでコーディングするフロントエンド開発者、Javaやswiftでコーディングするモバイル開発者、あるいはCOBOLやRPG、JavaやC#に注力する昔ながらの開発者など、基本的にはそれぞれのコーディング言語やフレームワークでのスキルアップを支援していますので、実践的な方法でセキュリティを理解し、怖くない、学ぶのが楽しいものにすることができます。
ソフトウェア開発とセキュリティの分野で私たちが直面している課題の一つは、過去20年間、同じような、あるいは現在のソフトウェアの脆弱性を目にしてきたことだと思います。静的なコード解析を行っても、脆弱性評価や侵入テストを行っても、同じ問題が異なる技術やコードの異なる部分で繰り返し発生しています。
静的コード解析にしても、脆弱性評価や侵入テストにしても、これらの技術は問題点を指摘するだけで、実際に手を動かして解決する方法を教えてくれないことが多いというのが、2つ目の課題だと思います。ソフトウェアのセキュリティ問題の再発を防ぐだけでなく、ソフトウェア開発サイクルの中で迅速に解決したいと考えているからです。
Secure Code Warrior では、開発者の開発プロセスやツールに統合しようとしています。それは、ソフトウェア開発者との関連性を高め、文脈に沿ったものにしたいからです。私たちは、開発者が実際の問題を解決するために、コーチングやガイドをする手助けをしたいと考えています。また、チケッティングシステムへの統合もその一例です。静的コード解析ツールやペンテストによってセキュリティバグが発見されたとき、私たちは開発者と一緒になって、関連するコーディングパターンや、特定のコーディング言語でこの問題を迅速に解決する方法についての情報を提供したいと考えています。このように、私たちは、開発者が実際に必要とするときに、私たちを本当にコンテクストに沿った存在にしたいのです。sensei のような技術を使えば、開発者のIDEの中でコンテクストに沿ったサービスを提供することができます。新入社員や若手の開発者が、セキュリティの脆弱性につながるようなコーディングを行っていることに気づいたとき、私たちは実際にそこにいて、問題を検出してその場でトレーニングを行うだけでなく、その問題を迅速に解決するためのガイダンスを提供し、さらにはIDE内で自動的にコードを書き換えることができるようにしたいと考えています。このようにして、私たちは関連性の高いコンテクストを提供するとともに、開発者が自分のチームで安全なコードを作成するための修正方法を、彼らのコーディング言語でソリューションとして提供したいと考えています。
ですから、私たちの最終的な目標は、開発者のDNAにセキュリティを組み込むことです。私たちは左にシフトしたいのではなく、左からスタートしています。私たちは開発者を助け、最初から安全なコードを書けるようにしたいのです。そのために、開発者が使用しているコーディングや言語に特化した、実践的なゲーミフィケーションや楽しい学習体験を提供する環境を構築しているのです。開発者が安全なコードを迅速に書けるように、セキュリティを構築的で前向きな楽しい経験にしたいのです。
では、なぜ開発者はSecure Code Warrior が好きなのでしょうか?リアクトでコーディングするフロントエンド開発者、Javaやswiftでコーディングするモバイル開発者、あるいはCOBOLやRPG、JavaやC#に注力する昔ながらの開発者など、基本的にはそれぞれのコーディング言語やフレームワークでのスキルアップを支援していますので、実践的な方法でセキュリティを理解し、怖くない、学ぶのが楽しいものにすることができます。

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約するソフトウェア開発とセキュリティの分野で私たちが直面している課題の一つは、過去20年間、同じような、あるいは現在のソフトウェアの脆弱性を目にしてきたことだと思います。静的なコード解析を行っても、脆弱性評価や侵入テストを行っても、同じ問題が異なる技術やコードの異なる部分で繰り返し発生しています。
静的コード解析にしても、脆弱性評価や侵入テストにしても、これらの技術は問題点を指摘するだけで、実際に手を動かして解決する方法を教えてくれないことが多いというのが、2つ目の課題だと思います。ソフトウェアのセキュリティ問題の再発を防ぐだけでなく、ソフトウェア開発サイクルの中で迅速に解決したいと考えているからです。
Secure Code Warrior では、開発者の開発プロセスやツールに統合しようとしています。それは、ソフトウェア開発者との関連性を高め、文脈に沿ったものにしたいからです。私たちは、開発者が実際の問題を解決するために、コーチングやガイドをする手助けをしたいと考えています。また、チケッティングシステムへの統合もその一例です。静的コード解析ツールやペンテストによってセキュリティバグが発見されたとき、私たちは開発者と一緒になって、関連するコーディングパターンや、特定のコーディング言語でこの問題を迅速に解決する方法についての情報を提供したいと考えています。このように、私たちは、開発者が実際に必要とするときに、私たちを本当にコンテクストに沿った存在にしたいのです。sensei のような技術を使えば、開発者のIDEの中でコンテクストに沿ったサービスを提供することができます。新入社員や若手の開発者が、セキュリティの脆弱性につながるようなコーディングを行っていることに気づいたとき、私たちは実際にそこにいて、問題を検出してその場でトレーニングを行うだけでなく、その問題を迅速に解決するためのガイダンスを提供し、さらにはIDE内で自動的にコードを書き換えることができるようにしたいと考えています。このようにして、私たちは関連性の高いコンテクストを提供するとともに、開発者が自分のチームで安全なコードを作成するための修正方法を、彼らのコーディング言語でソリューションとして提供したいと考えています。
ですから、私たちの最終的な目標は、開発者のDNAにセキュリティを組み込むことです。私たちは左にシフトしたいのではなく、左からスタートしています。私たちは開発者を助け、最初から安全なコードを書けるようにしたいのです。そのために、開発者が使用しているコーディングや言語に特化した、実践的なゲーミフィケーションや楽しい学習体験を提供する環境を構築しているのです。開発者が安全なコードを迅速に書けるように、セキュリティを構築的で前向きな楽しい経験にしたいのです。
では、なぜ開発者はSecure Code Warrior が好きなのでしょうか?リアクトでコーディングするフロントエンド開発者、Javaやswiftでコーディングするモバイル開発者、あるいはCOBOLやRPG、JavaやC#に注力する昔ながらの開発者など、基本的にはそれぞれのコーディング言語やフレームワークでのスキルアップを支援していますので、実践的な方法でセキュリティを理解し、怖くない、学ぶのが楽しいものにすることができます。
始めるためのリソース
セキュリティ スキルのベンチマーク: 企業におけるセキュアな設計の合理化
セキュアバイデザイン(SBD)構想の成功に関する有意義なデータを見つけることは、非常に困難である。CISO は、セキュリティプログラム活動の投資収益率(ROI)とビジネス価値を、従業員レベルと企業レベルの両方で証明しようとすると、しばしば困難に直面します。言うまでもなく、企業にとって、現在の業界標準に対して自社の組織がどのようにベンチマークされているかを把握することは特に困難です。大統領の国家サイバーセキュリティ戦略は、関係者に「デザインによるセキュリティとレジリエンスを受け入れる」ことを求めている。セキュアバイデザインの取り組みを成功させる鍵は、開発者にセキュアなコードを保証するスキルを与えるだけでなく、規制当局にそれらのスキルが整っていることを保証することである。本プレゼンテーションでは、25万人以上の開発者から収集した社内データ、データに基づく顧客の洞察、公的研究など、複数の一次ソースから得られた無数の定性的・定量的データを紹介します。こうしたデータ・ポイントの集積を活用することで、複数の業種におけるセキュア・バイ・デザイン・イニシアチブの現状をお伝えすることを目的としています。本レポートでは、この領域が現在十分に活用されていない理由、スキルアッププログラムの成功がサイバーセキュリティのリスク軽減に与える大きな影響、コードベースから脆弱性のカテゴリーを排除できる可能性について詳述しています。