30万人の開発者が実際に行っているセキュリティ対策とは?
30万人の開発者が実際に行っているセキュリティ対策とは?
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/6022b7742d799482d433d167_5fb34cc491a9af3646a2dc18_ManyFaces.webp)
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/6022b7742d799482d433d167_5fb34cc491a9af3646a2dc18_ManyFaces.webp)
BSIMM 8がリリースされました。素晴らしいですね。大企業が安全なソフトウェアを作るためにどのようなセキュリティ対策を行っているかを調査した唯一無二の大規模調査です。
この調査は、ゲイリー・マクローの監修のもと、アプリケーション・セキュリティの専門家によって実施されており、収集されたデータが一貫性のある正確なものであること、そして30万人の開発者が日々行っていることへの洞察を与えてくれることを確認しています。最新のプレゼンテーションでは、BSIMMの数字を参照し、平均して100人の開発者に対して2人のアプリケーション・セキュリティの専門家がいると述べました。
しかし、BSIMM4以降はそうなっていません。BSIMM8によると、この数字はさらに少なくなり、開発者100人あたり1.6人となっています。アプリケーション・セキュリティの専門家を増員しても、人材が不足しているため、単純にはうまくいきません。これまで以上に、開発者に、安全なコードを書くためのツールとトレーニングを提供する必要があります。それは、実践的で、すぐに利用でき、組織にとってスケーラブルなものです。
また、このレポートによると、トレーニング業務の中で最も一般的な活動は、全従業員に対する意識向上のためのトレーニングの提供であり、その割合は67%でした。私は、Secure Code Warrior (SCW)で行っているトレーニングに関する活動をマッピングしてみたところ、当社のソリューションは、トレーニングに関する活動のレベル1(ほとんどの企業が行っている)からレベル3(ごく少数の企業が行っている)までの12の活動すべてに当てはまることがわかりました。
1つのソリューションで練習全体をカバーすることができます!12のトレーニングプラクティスのうち、Secure Code Warrior のソリューションで最も興味深いプラクティスは次のとおりです。
- レベル1:啓発活動の実施
- レベル1:オンデマンドの個別トレーニングの提供
- レベル2:トレーニングによるサテライトの強化(SCW測定基準
- レベル3:カリキュラムの進行に応じた報酬(SCWバッジ
- レベル3:ベンダーや外部委託先へのトレーニングの提供(SCWアセスメント
- レベル3:外部ソフトウェアセキュリティイベントの開催(SCWTournament モード
- レベル3:トレーニングによるサテライトの特定(SCWの測定基準
現在のソリューションがこれらのプラクティスに対応していると確信していますか?
始めるためのリソース
信託代理人Secure Code Warrior
SCW Trust Agentは、開発者のセキュアコードに関する知識とスキルを、開発者がコミットする作業と整合させることで、セキュリティを強化するように設計された革新的なソリューションです。SCW Trust Agentは、開発者のセキュアコードプロファイルに照らし合わせて各コミットを分析し、組織のコードリポジトリ全体にわたって包括的な可視化と制御を提供します。SCW Trust Agentにより、企業はセキュリティ体制を強化し、開発ライフサイクルを最適化し、開発者主導のセキュリティを拡大することができます。
始めるためのリソース
30万人の開発者が実際に行っているセキュリティ対策とは?
![](https://cdn.prod.website-files.com/5fec9210c1841a6c20c6ce81/6022b7742d799482d433d167_5fb34cc491a9af3646a2dc18_ManyFaces.webp)
BSIMM 8がリリースされました。素晴らしいですね。大企業が安全なソフトウェアを作るためにどのようなセキュリティ対策を行っているかを調査した唯一無二の大規模調査です。
この調査は、ゲイリー・マクローの監修のもと、アプリケーション・セキュリティの専門家によって実施されており、収集されたデータが一貫性のある正確なものであること、そして30万人の開発者が日々行っていることへの洞察を与えてくれることを確認しています。最新のプレゼンテーションでは、BSIMMの数字を参照し、平均して100人の開発者に対して2人のアプリケーション・セキュリティの専門家がいると述べました。
しかし、BSIMM4以降はそうなっていません。BSIMM8によると、この数字はさらに少なくなり、開発者100人あたり1.6人となっています。アプリケーション・セキュリティの専門家を増員しても、人材が不足しているため、単純にはうまくいきません。これまで以上に、開発者に、安全なコードを書くためのツールとトレーニングを提供する必要があります。それは、実践的で、すぐに利用でき、組織にとってスケーラブルなものです。
また、このレポートによると、トレーニング業務の中で最も一般的な活動は、全従業員に対する意識向上のためのトレーニングの提供であり、その割合は67%でした。私は、Secure Code Warrior (SCW)で行っているトレーニングに関する活動をマッピングしてみたところ、当社のソリューションは、トレーニングに関する活動のレベル1(ほとんどの企業が行っている)からレベル3(ごく少数の企業が行っている)までの12の活動すべてに当てはまることがわかりました。
1つのソリューションで練習全体をカバーすることができます!12のトレーニングプラクティスのうち、Secure Code Warrior のソリューションで最も興味深いプラクティスは次のとおりです。
- レベル1:啓発活動の実施
- レベル1:オンデマンドの個別トレーニングの提供
- レベル2:トレーニングによるサテライトの強化(SCW測定基準
- レベル3:カリキュラムの進行に応じた報酬(SCWバッジ
- レベル3:ベンダーや外部委託先へのトレーニングの提供(SCWアセスメント
- レベル3:外部ソフトウェアセキュリティイベントの開催(SCWTournament モード
- レベル3:トレーニングによるサテライトの特定(SCWの測定基準
現在のソリューションがこれらのプラクティスに対応していると確信していますか?