左にシフトする
もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。
一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。
識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません
O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。
IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。
私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。
一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。
識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません
O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。
IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。
私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。
もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。
一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。
識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません
O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。
IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。
私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。
一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。
識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません
O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。
IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。
私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。
始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
始めるためのリソース
Securing the Future of Software: Why Secure Code Warrior and KnowBe4 Are Joining Forces
I am thrilled to announce today an upcoming strategic partnership between Secure Code Warrior and KnowBe4. KnowBe4 is a world-renowned leader in comprehensively managing human and agentic AI risk, making them the perfect partner to help us distribute foundational security awareness to organizations across the globe.
Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?
Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.
.png)