人間主導の安全なコーディングにより、リアクティブからプロアクティブへと焦点を移す
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
.avif)
.avif)
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業は、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。しかし、今回の調査では、人間が主導する新たな方向性が示されています。
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
過去20年以上にわたり、同じ10種類のソフトウェアの脆弱性が、他のどの脆弱性よりも多くのセキュリティ侵害の原因となっています。しかし、多くの企業では、セキュリティ侵害が発生した後の対応に終始しており、人的・ビジネス的な影響に悩まされています。
以下は、Secure Code Warrior がEvans Data Corpと共同で実施した「Shifting from Reaction to Prevention」と題した調査から得られた 考察です。The changing face of application security」(2021年)と題して、セキュアコーディング、セキュアコードの実践、セキュリティ運用に対する開発者の態度を調査しました。ホワイトペーパのダウンロード こちら.
間もなく発表されるこの調査では、開発者と開発マネージャーに、安全なコーディングに関連する活動について質問しました。その結果、トップ3の回答は
- 配置されたアプリケーションでのスキャンツールの使用
- 脆弱性がないかコードを手動で確認する。
- 脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践。
では、これは何を意味するのでしょうか?1つ目はツール(スキャナ)に依存し、2つ目は開発者(つまり人間)が手動でチェックを行うというものです。これらの方法で検出された脆弱性は、開発チームに戻されて手直しされる必要があり、プロジェクトのスケジュールやコストに影響を与えます。
同時に、3つの活動のうち2つは人間的な要素に依存しており、セキュリティは人間の問題であるという認識が高まっていることを示しています。しかし、ノミネートされた活動の中で最も示唆に富んでいるのは、第3位の「そもそも脆弱性から保護されたソフトウェアを書くための人的要素」である。 これは、ソフトウェア開発ライフサイクルの最初の段階からソフトウェアにセキュリティを組み込むという積極的かつ予防的なアプローチという、左からのスタートへのシフトを示しています。
リアクティブはイコールエンプティ
IBMの調査*によると、リリース後のコードの脆弱性を修正するには、最初から脆弱性を発見して修正した場合に比べて30倍のコストがかかるとのことです。これは、開発者が最初からより安全なコードを書けるようにするという、ソフトウェアセキュリティの防御に対する新しい積極的かつ人間的なアプローチの強力な動機付けとなります。
これは、人間主導の防御と言えるでしょう。しかし、開発者がセキュリティに関心を持つようになるには、開発者の日常的な考え方やコーディング方法の一部となる必要があります。そのためには、開発者の日常業務と密接に関連し、学習意欲をかきたてるような新しいアプローチのトレーニングが必要ですが、現在のトレーニングモデルではそのようなアプローチは不可能です。
積極的なセキュリティ文化を作るためには、以下のような新しいトレーニングが必要です。
- 開発者がソフトウェア・セキュリティ・スキルを向上させる際に、セキュア・コーディングを積極的かつ魅力的なものにします。
- 開発者が日々のコーディング作業をセキュリティマインドで捉えられるようになる。
- 安全なコーディングを日々のワークフローに組み込むことができます。
これらの要素が一体となることで、脆弱性の発生を未然に防ぎ、チームが自信を持って高品質なコードをより早く出荷できるようになります。良いニュースは、ソフトウェア開発プロセスの「左から始める」Learning Platform がすでに存在していることです。これにより、開発者は最初から高品質なコードを作成するためのスキルとツールを身につけることができます。
*IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Costs
https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード
.png)
