私のワークフローを乱すのはやめてください適切なセキュリティトレーニングを適切なタイミングで受ける方法

2020年07月01日掲載
マティアス・マドゥ博士著
ケーススタディ

私のワークフローを乱すのはやめてください適切なセキュリティトレーニングを適切なタイミングで受ける方法

2020年07月01日掲載
マティアス・マドゥ博士著
リソースを見る
リソースを見る

あなたが最後に仕事をしていたときのことを考えてみてください。おそらくソフトウェアのプロジェクトチームの中で、不可能な期限に向かって仕事をしていたのではないでしょうか。そんなとき、上司がやってきて、必須のセキュリティトレーニングがあるから、他の仕事に加えて、そのトレーニングを仕事に組み込む必要があると言いました。

彼らもあなたも、それを知っています。これは非常に面倒なことですが、コンプライアンス上の理由から、あなたは退屈なトレーニングビデオをバックグラウンドで流しながらコーディングを続け、両方の作業に参加したり離れたりして、どちらにも全神経を集中させることになります。これはよくあることで、非常に混乱を招き、皆の時間を無駄にしてしまいます。ほとんどのセキュリティトレーニングは一般的なもので、仕事の合間を縫って行われるものには価値がなく、無視してしまいがちです。

会社としての目標は、より良い、より効果的なセキュリティトレーニングを皆様にお届けすることです。これは、AppSecチームが重要だと言っていることから離れ、それぞれの優先順位がずれてしまうことがどのようなことなのかをよく知っているからこそ生まれたものです。しかし、興味深いのは、必要なときにトレーニングを受けるための障壁を減らすために何ができるかを考え始めたことです。私たちの完全なプラットフォームを使っても、トレーニングセッションに集中できないときには、仕事から離れるためのいくつかのステップがあります。

私たちは、IDEや課題追跡システムなどのワークフローに、マイクロラーニングをよりシームレスに導入する方法を検討しました。そしてたどり着いたのが、これです。

これは、JiT(Just-in-Time)の原則に基づいており、正しい知識を正しいタイミングで提供することで、すぐに効果的で有用な知識を得ることができます。これは、情報が氾濫し、機能を構築するための貴重な時間と頭脳を奪うことになりがちなJust in Caseの学習方法とは正反対のものです。

品質の高いコードは安全なコードであり、もしあなたが時折コラボレーションするために、侵襲性のないセキュリティの相棒を必要としているのであれば、それを試してみる価値はあるかもしれません。

障壁をなくし、トレーニングをあなたのもとへ。

サイバーセキュリティに興味を持つ人はいるかもしれませんが、すべての人ではありません。また、開発者がセキュリティの専門家になることを期待するべきではありません。それは、依然としてAppSec専門チームの仕事です。しかし、セキュリティに精通した開発者は、そのスキルと、コード構築の段階から組織を保護することができるという点で高く評価されています。

統合トレーニングをクリッピーようなものと考えている方には重要なことですが、Secure Code Warrior の統合トレーニングは開発者が開発者のために作ったものであり、刺激的な要素は考慮されていません。

実際にチェックしてみましょう。

Secure Code Warrior | GitHubインテグレーション

Secure Code Warrior for Githubは、ラベル、課題のタイトル、および課題の本文に含まれるCWE(Common Weakness Enumeration)またはOWASPの参照をコードで検査し、文脈に沿ったジャストインタイムトレーニングを表示します。脆弱性の参照が見つかった場合には、迅速な解決と脆弱性の再発防止を支援するために、課題にコメントが投稿されます。これにより、お客様のプロセスを中断したり、解決のために手間をかけさせたりすることなく、課題に統合されます。

また、Jiraを使用している場合も同様のプロセスとなります。

SCW for Jira Server
SCW for Jira Cloud

さて、現役のセキュリティ意識の高いスーパースターは、自分の力だけで魔法を起こせるわけではないことを忘れてはいけません。サポート、トレーニング、そしてセキュリティを真剣に考え、自分のワークフローに取り入れる理由が必要になります。幸いなことに、これらはすべて、機能するDevSecOpsプロセスの一部であり、多くの組織がすでに注目しています。

今すぐダウンロードして、ご意見をお聞かせください。

リソースを見る
リソースを見る

著者

マティアス・マドゥ博士

マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。

Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

私のワークフローを乱すのはやめてください適切なセキュリティトレーニングを適切なタイミングで受ける方法

2024年1月22日発行
マティアス・マドゥ博士著

あなたが最後に仕事をしていたときのことを考えてみてください。おそらくソフトウェアのプロジェクトチームの中で、不可能な期限に向かって仕事をしていたのではないでしょうか。そんなとき、上司がやってきて、必須のセキュリティトレーニングがあるから、他の仕事に加えて、そのトレーニングを仕事に組み込む必要があると言いました。

彼らもあなたも、それを知っています。これは非常に面倒なことですが、コンプライアンス上の理由から、あなたは退屈なトレーニングビデオをバックグラウンドで流しながらコーディングを続け、両方の作業に参加したり離れたりして、どちらにも全神経を集中させることになります。これはよくあることで、非常に混乱を招き、皆の時間を無駄にしてしまいます。ほとんどのセキュリティトレーニングは一般的なもので、仕事の合間を縫って行われるものには価値がなく、無視してしまいがちです。

会社としての目標は、より良い、より効果的なセキュリティトレーニングを皆様にお届けすることです。これは、AppSecチームが重要だと言っていることから離れ、それぞれの優先順位がずれてしまうことがどのようなことなのかをよく知っているからこそ生まれたものです。しかし、興味深いのは、必要なときにトレーニングを受けるための障壁を減らすために何ができるかを考え始めたことです。私たちの完全なプラットフォームを使っても、トレーニングセッションに集中できないときには、仕事から離れるためのいくつかのステップがあります。

私たちは、IDEや課題追跡システムなどのワークフローに、マイクロラーニングをよりシームレスに導入する方法を検討しました。そしてたどり着いたのが、これです。

これは、JiT(Just-in-Time)の原則に基づいており、正しい知識を正しいタイミングで提供することで、すぐに効果的で有用な知識を得ることができます。これは、情報が氾濫し、機能を構築するための貴重な時間と頭脳を奪うことになりがちなJust in Caseの学習方法とは正反対のものです。

品質の高いコードは安全なコードであり、もしあなたが時折コラボレーションするために、侵襲性のないセキュリティの相棒を必要としているのであれば、それを試してみる価値はあるかもしれません。

障壁をなくし、トレーニングをあなたのもとへ。

サイバーセキュリティに興味を持つ人はいるかもしれませんが、すべての人ではありません。また、開発者がセキュリティの専門家になることを期待するべきではありません。それは、依然としてAppSec専門チームの仕事です。しかし、セキュリティに精通した開発者は、そのスキルと、コード構築の段階から組織を保護することができるという点で高く評価されています。

統合トレーニングをクリッピーようなものと考えている方には重要なことですが、Secure Code Warrior の統合トレーニングは開発者が開発者のために作ったものであり、刺激的な要素は考慮されていません。

実際にチェックしてみましょう。

Secure Code Warrior | GitHubインテグレーション

Secure Code Warrior for Githubは、ラベル、課題のタイトル、および課題の本文に含まれるCWE(Common Weakness Enumeration)またはOWASPの参照をコードで検査し、文脈に沿ったジャストインタイムトレーニングを表示します。脆弱性の参照が見つかった場合には、迅速な解決と脆弱性の再発防止を支援するために、課題にコメントが投稿されます。これにより、お客様のプロセスを中断したり、解決のために手間をかけさせたりすることなく、課題に統合されます。

また、Jiraを使用している場合も同様のプロセスとなります。

SCW for Jira Server
SCW for Jira Cloud

さて、現役のセキュリティ意識の高いスーパースターは、自分の力だけで魔法を起こせるわけではないことを忘れてはいけません。サポート、トレーニング、そしてセキュリティを真剣に考え、自分のワークフローに取り入れる理由が必要になります。幸いなことに、これらはすべて、機能するDevSecOpsプロセスの一部であり、多くの組織がすでに注目しています。

今すぐダウンロードして、ご意見をお聞かせください。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。