SCW アイコン
ダウンロードありがとうございます!
その他のリソース
ヒーロー背景(区切りなし)
ブログ

左にシフトする

ピーテル・ダンヒユー
2017年9月22日 掲載
最終更新日: 2023年02月08日
アプリケーションセキュリティ
ビデオ再生ボタン。
ビデオ再生ボタン。

もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。

一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。

識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません

O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。

IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。

私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。

https://www.oreilly.com/ideas/chris-wysopal-on-a-shared-responsibility-model-for-developers-and-defenders

リソースを見る
リソースを見る

開発者がJavaScriptでコーディングしているときにクロスサイトスクリプティングエラーを書き、その欠陥を作ってから数分で検出できたとしたら

ご興味がおありですか?

最高経営責任者(CEO)、会長、および共同設立者

もっと詳しく

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約する
シェアする
リンクトインのブランドソーシャルx ロゴ
著者
ピーテル・ダンヒユー
2017年9月22日発行

最高経営責任者(CEO)、会長、および共同設立者

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

シェアする
リンクトインのブランドソーシャルx ロゴ
ビデオ再生ボタン。
ビデオ再生ボタン。

もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。

一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。

識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません

O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。

IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。

私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。

https://www.oreilly.com/ideas/chris-wysopal-on-a-shared-responsibility-model-for-developers-and-defenders

リソースを見る
リソースを見る

以下のフォームに記入し、レポートをダウンロードしてください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

送信
SCW成功アイコン
SCWエラーアイコン
フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。
ビデオ再生ボタン。
ビデオ再生ボタン。

もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。

一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。

識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません

O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。

IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。

私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。

https://www.oreilly.com/ideas/chris-wysopal-on-a-shared-responsibility-model-for-developers-and-defenders

ウェビナーを見る
始める
もっと詳しく

以下のリンクをクリックし、この資料のPDFをダウンロードしてください。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

レポートを見るデモを予約する
PDFをダウンロード
リソースを見る
シェアする
リンクトインのブランドソーシャルx ロゴ
ご興味がおありですか?

シェアする
リンクトインのブランドソーシャルx ロゴ
著者
ピーテル・ダンヒユー
2017年9月22日発行

最高経営責任者(CEO)、会長、および共同設立者

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

シェアする
リンクトインのブランドソーシャルx ロゴ

もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。

一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。

識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません

O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。

IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。

私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。

https://www.oreilly.com/ideas/chris-wysopal-on-a-shared-responsibility-model-for-developers-and-defenders

目次

PDFをダウンロード
リソースを見る
ご興味がおありですか?

最高経営責任者(CEO)、会長、および共同設立者

もっと詳しく

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。

デモを予約するダウンロード
シェアする
リンクトインのブランドソーシャルx ロゴ
リソース・ハブ

始めるためのリソース

その他の記事
パンフレット

セキュアコード・トレーニングのトピックと内容

Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.

さらに詳しく
2026年3月11日
セキュアコード・トレーニングのトピックと内容
パンフレット
ポケットベル

サイバーレジリエンス法(CRA)対応学習パスウェイ

SCWは、サイバーレジリエンス法(CRA)に準拠したクエストと概念学習コレクションを通じてCRA対応を支援し、開発チームがCRAの安全な開発原則に沿った「設計段階からのセキュリティ確保(Secure by Design)」、ソフトウェア開発ライフサイクル(SDLC)、安全なコーディングスキルを構築することを支援します。

2026年1月20日
導入事例

オランダ商工会議所、大規模開発者主導型セキュリティの基準を設定

オランダ商工会議所は、役割ベースの認証、トラストスコアのベンチマーク、共有されたセキュリティ責任の文化を通じて、日常の開発にセキュアコーディングを組み込んだ方法を共有しています。

2026年1月6日
電子ブック

OWASP Top 10 2025 電子書籍

OWASPトップ10を制覇したいですか?『OWASPトップ10:2025からアプリケーションを守るための実践ガイド』をダウンロード

2025年12月23日
リソース・ハブ

始めるためのリソース

その他の記事

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

さらに詳しく
Mar 17, 2026
ブログ
ブログ

サイバーモンが帰ってきた:ボスAIMissions がオンデマンドでプレイ可能Missions

サイバーモン2025 ビート・ザ・ボスがSCWで通年利用可能になりました。高度なAI/LLMセキュリティ課題を導入し、大規模なセキュアなAI開発を強化します。

2026年3月5日
ブログ

AIはコードの記述とレビューが可能だが、リスクの責任は依然として人間が負う

AnthropicによるClaude Code Securityのリリースは、AI支援型ソフトウェア開発と現代のサイバーセキュリティへのアプローチ手法の急速な進化が交錯する決定的な分岐点を示すものである。

2026年2月25日
ブログ

サイバーレジリエンス法の解説:セキュア・バイ・デザインによるソフトウェア開発への影響

EUサイバーレジリエンス法(CRA)が求める要件、適用対象、およびエンジニアリングチームが「セキュア・バイ・デザイン」の実践、脆弱性予防、開発者能力構築を通じてどのように準備できるかを学びましょう。

2026年2月24日