左にシフトする

2017年9月22日発行
ピーテル・ダンヒョウ著
ケーススタディ

左にシフトする

2017年9月22日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。

一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。

識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません

O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。

IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。

私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。

https://www.oreilly.com/ideas/chris-wysopal-on-a-shared-responsibility-model-for-developers-and-defenders

リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

左にシフトする

2024年1月22日発行
Pieter Danhieux著

もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。

一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。

識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません

O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。

IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。

私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。

https://www.oreilly.com/ideas/chris-wysopal-on-a-shared-responsibility-model-for-developers-and-defenders

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。