好奇心旺盛なセキュリティマインドを罰するのではなく、サポートする必要がある理由
最近、10代のセキュリティ研究者Bill Demirkapi氏が、自分の学校で使用されているソフトウェアの重大な脆弱性を暴露したという報道は、いくつかの記憶を呼び起こしました。私は好奇心旺盛な子供で、ソフトウェアのフードを持ち上げて下を覗いてみたり、すべてがどのように機能しているのか、そしてもっと重要なことは、それを壊すことができるかどうかを確かめたりしたことを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。そしてセキュリティコミュニティは(時としてそのアプローチは少々生意気ではありますが)、欠陥や潜在的な災害を発見するという重要な役割を担っていますが、できれば悪人が同じことをする前に発見したいものです。
しかし、ここで問題となるのは、彼が発見したことに対して、学校から軽い停学処分を受けたことです。それも、彼が会社(Follett Corporation)に個人的に連絡する手段をすべて使い果たし、最終的には、自分がシステムに侵入したことを明らかにするために、かなり公然と爆破することを選んだ後でのことでした。彼が倫理的にFollett Corporationに警告しようと何度も試みましたが、返事はなく、ソフトウェアは脆弱なままで、多くの学生データが暗号化されていないため、かなり簡単に暴露されてしまいました。
また、Blackboardという別の会社のソフトウェアのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が侵入し、数百万件以上の記録を奪うことができたのです。このソフトウェアもFollett社の製品も、彼の学校で使用されていました。
邪悪なハッカー」という語り口は問題があります。
Demirkapiは今年のDEF CONで研究成果を発表し、彼のいたずらの詳細については観客の喝采を浴びました。彼は当初、悪者扱いされ、自分の発見を認めてもらうために多くの困難に直面していたが、Follett Corporationは彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的に自社のソフトウェアの安全性を高め、データ漏洩の統計になるという危機を回避したという。また、高校卒業後はロチェスター工科大学に進学するとのことで、需要のあるセキュリティスペシャリストになるための正しい道を歩んでいることは間違いありません。
私自身、セキュリティ担当者として、この状況がどのように処理されたかについて問題視しないわけにはいきません。このケースでは「終わりよければすべてよし」ですが、当初、彼は関係のないところで鼻を利かせる迷惑なスクリプトキッズのように扱われました。この事件をGoogleで検索すると、彼を「ハッカー」と呼ぶ記事が出てきます(セキュリティの素人からすると、これは多くの意味で彼を悪者に位置づけています)が、実際には彼のアプローチ(および他の多くの人々のアプローチ)が私たちのデータを安全に保つのに役立っているのです。
私たちは、好奇心旺盛で賢い、セキュリティに関心のある人々が、ボンネットの下を覗いてみることを必要としていますし、それをもっと頻繁に行う必要があるのです。7月の時点で、今年だけでも40億件以上の記録が悪意のあるデータ侵害によって流出しています。8月に発生したファッション・ライフスタイルブランド「Poshmark」の不正アクセスにより、この数字にさらに5,000万件が加わる可能性があります。
私たちは同じ過ちを犯しています。さらに心配なことに、その過ちは顔を真っ赤にするような、単純な弱点であることが多く、私たちを躓かせます。
クロスサイトスクリプティングやSQLインジェクションがなくなったわけではありません。
WIRED』が報じたところによると、「Blackboards Community Engagement software」と「Folletts Student Information System」には、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがDemirkapiによって発見された。これらのバグは、1990年代からセキュリティ専門家の舌の根も乾かぬうちに存在していました。
しかし、実際にはそうではありません。また、コードにこれらの問題が混入するのを防ぐために、十分なセキュリティ意識を持っている開発者が少ないことも明らかです。XSSやSQLインジェクションよりもはるかに複雑なセキュリティ上の問題があり、これらの高価で時間のかかる手段をより有効に活用することができます。
Bill Demirkapi氏のような人物は、開発者がより高い水準のコードを作成するよう促すべきです。彼はわずか17歳で、コードをコミットする前に嗅ぎ分けて修正すべき脅威ベクトルを用いて、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション。エンゲージメントの鍵とは?
私はこれまで、開発者がなぜセキュリティにあまり関心を示さないのかについて多くの記事を書いてきましたが、一言で言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育てるために多くのことが行われていないということです。企業が時間をかけて、開発者の言葉を理解し、努力を続ける意欲を高めるトレーニングを実施するなど、関与に報い、評価するセキュリティ文化を構築すると、私たちが使用するソフトウェアから、厄介な脆弱性の遺物が消えていきます。
Demirkapi氏は、明らかにセキュリティに特別な興味を持っており、マルウェアのリバースエンジニアリングや欠陥の発見、そして外見からは壊れているようには見えないものを壊す方法を時間をかけて学んできました。しかし、VICEの取材で(そしてDEF CONのスライドで)、彼はその自己啓発について興味深い発言をしています。
"学校のソフトウェアから何かを見つけ出すという目的で、ゲーム感覚で楽しみながらペネトレーションテストの重要性を学ぶことができました。もっと知りたいと思って始めた調査でしたが、結果的には予想以上に悪いことがわかりました」と語ります。
すべての開発者がセキュリティを専門にしたいと思うわけではありませんが、すべての開発者にセキュリティを意識する機会を与え、基本的な知識を身につけさせるべきです。最も簡単なセキュリティホールでも、開発者全員がコードを書く前にパッチを当てることができれば、大災害を引き起こそうとする人たちに対して、より安全な立場に立つことができます。
ゲーム化されたトレーニングについて興味がありますか?Coders Conquer Securityシリーズをご覧ください。 XSSや SQLインジェクション.
10代のセキュリティ研究者であるBill Demirkapi氏が、自分の学校で使用されているソフトウェアの重大な脆弱性を暴露したことは、いくつかの記憶を呼び起こしました。私は好奇心旺盛な子供だったので、ソフトウェアのフードを持ち上げてその下を覗き、すべてがどのように機能するのか、そしてそれを壊すことができるのかを確認したことを覚えています。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
最近、10代のセキュリティ研究者Bill Demirkapi氏が、自分の学校で使用されているソフトウェアの重大な脆弱性を暴露したという報道は、いくつかの記憶を呼び起こしました。私は好奇心旺盛な子供で、ソフトウェアのフードを持ち上げて下を覗いてみたり、すべてがどのように機能しているのか、そしてもっと重要なことは、それを壊すことができるかどうかを確かめたりしたことを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。そしてセキュリティコミュニティは(時としてそのアプローチは少々生意気ではありますが)、欠陥や潜在的な災害を発見するという重要な役割を担っていますが、できれば悪人が同じことをする前に発見したいものです。
しかし、ここで問題となるのは、彼が発見したことに対して、学校から軽い停学処分を受けたことです。それも、彼が会社(Follett Corporation)に個人的に連絡する手段をすべて使い果たし、最終的には、自分がシステムに侵入したことを明らかにするために、かなり公然と爆破することを選んだ後でのことでした。彼が倫理的にFollett Corporationに警告しようと何度も試みましたが、返事はなく、ソフトウェアは脆弱なままで、多くの学生データが暗号化されていないため、かなり簡単に暴露されてしまいました。
また、Blackboardという別の会社のソフトウェアのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が侵入し、数百万件以上の記録を奪うことができたのです。このソフトウェアもFollett社の製品も、彼の学校で使用されていました。
邪悪なハッカー」という語り口は問題があります。
Demirkapiは今年のDEF CONで研究成果を発表し、彼のいたずらの詳細については観客の喝采を浴びました。彼は当初、悪者扱いされ、自分の発見を認めてもらうために多くの困難に直面していたが、Follett Corporationは彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的に自社のソフトウェアの安全性を高め、データ漏洩の統計になるという危機を回避したという。また、高校卒業後はロチェスター工科大学に進学するとのことで、需要のあるセキュリティスペシャリストになるための正しい道を歩んでいることは間違いありません。
私自身、セキュリティ担当者として、この状況がどのように処理されたかについて問題視しないわけにはいきません。このケースでは「終わりよければすべてよし」ですが、当初、彼は関係のないところで鼻を利かせる迷惑なスクリプトキッズのように扱われました。この事件をGoogleで検索すると、彼を「ハッカー」と呼ぶ記事が出てきます(セキュリティの素人からすると、これは多くの意味で彼を悪者に位置づけています)が、実際には彼のアプローチ(および他の多くの人々のアプローチ)が私たちのデータを安全に保つのに役立っているのです。
私たちは、好奇心旺盛で賢い、セキュリティに関心のある人々が、ボンネットの下を覗いてみることを必要としていますし、それをもっと頻繁に行う必要があるのです。7月の時点で、今年だけでも40億件以上の記録が悪意のあるデータ侵害によって流出しています。8月に発生したファッション・ライフスタイルブランド「Poshmark」の不正アクセスにより、この数字にさらに5,000万件が加わる可能性があります。
私たちは同じ過ちを犯しています。さらに心配なことに、その過ちは顔を真っ赤にするような、単純な弱点であることが多く、私たちを躓かせます。
クロスサイトスクリプティングやSQLインジェクションがなくなったわけではありません。
WIRED』が報じたところによると、「Blackboards Community Engagement software」と「Folletts Student Information System」には、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがDemirkapiによって発見された。これらのバグは、1990年代からセキュリティ専門家の舌の根も乾かぬうちに存在していました。
しかし、実際にはそうではありません。また、コードにこれらの問題が混入するのを防ぐために、十分なセキュリティ意識を持っている開発者が少ないことも明らかです。XSSやSQLインジェクションよりもはるかに複雑なセキュリティ上の問題があり、これらの高価で時間のかかる手段をより有効に活用することができます。
Bill Demirkapi氏のような人物は、開発者がより高い水準のコードを作成するよう促すべきです。彼はわずか17歳で、コードをコミットする前に嗅ぎ分けて修正すべき脅威ベクトルを用いて、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション。エンゲージメントの鍵とは?
私はこれまで、開発者がなぜセキュリティにあまり関心を示さないのかについて多くの記事を書いてきましたが、一言で言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育てるために多くのことが行われていないということです。企業が時間をかけて、開発者の言葉を理解し、努力を続ける意欲を高めるトレーニングを実施するなど、関与に報い、評価するセキュリティ文化を構築すると、私たちが使用するソフトウェアから、厄介な脆弱性の遺物が消えていきます。
Demirkapi氏は、明らかにセキュリティに特別な興味を持っており、マルウェアのリバースエンジニアリングや欠陥の発見、そして外見からは壊れているようには見えないものを壊す方法を時間をかけて学んできました。しかし、VICEの取材で(そしてDEF CONのスライドで)、彼はその自己啓発について興味深い発言をしています。
"学校のソフトウェアから何かを見つけ出すという目的で、ゲーム感覚で楽しみながらペネトレーションテストの重要性を学ぶことができました。もっと知りたいと思って始めた調査でしたが、結果的には予想以上に悪いことがわかりました」と語ります。
すべての開発者がセキュリティを専門にしたいと思うわけではありませんが、すべての開発者にセキュリティを意識する機会を与え、基本的な知識を身につけさせるべきです。最も簡単なセキュリティホールでも、開発者全員がコードを書く前にパッチを当てることができれば、大災害を引き起こそうとする人たちに対して、より安全な立場に立つことができます。
ゲーム化されたトレーニングについて興味がありますか?Coders Conquer Securityシリーズをご覧ください。 XSSや SQLインジェクション.
最近、10代のセキュリティ研究者Bill Demirkapi氏が、自分の学校で使用されているソフトウェアの重大な脆弱性を暴露したという報道は、いくつかの記憶を呼び起こしました。私は好奇心旺盛な子供で、ソフトウェアのフードを持ち上げて下を覗いてみたり、すべてがどのように機能しているのか、そしてもっと重要なことは、それを壊すことができるかどうかを確かめたりしたことを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。そしてセキュリティコミュニティは(時としてそのアプローチは少々生意気ではありますが)、欠陥や潜在的な災害を発見するという重要な役割を担っていますが、できれば悪人が同じことをする前に発見したいものです。
しかし、ここで問題となるのは、彼が発見したことに対して、学校から軽い停学処分を受けたことです。それも、彼が会社(Follett Corporation)に個人的に連絡する手段をすべて使い果たし、最終的には、自分がシステムに侵入したことを明らかにするために、かなり公然と爆破することを選んだ後でのことでした。彼が倫理的にFollett Corporationに警告しようと何度も試みましたが、返事はなく、ソフトウェアは脆弱なままで、多くの学生データが暗号化されていないため、かなり簡単に暴露されてしまいました。
また、Blackboardという別の会社のソフトウェアのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が侵入し、数百万件以上の記録を奪うことができたのです。このソフトウェアもFollett社の製品も、彼の学校で使用されていました。
邪悪なハッカー」という語り口は問題があります。
Demirkapiは今年のDEF CONで研究成果を発表し、彼のいたずらの詳細については観客の喝采を浴びました。彼は当初、悪者扱いされ、自分の発見を認めてもらうために多くの困難に直面していたが、Follett Corporationは彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的に自社のソフトウェアの安全性を高め、データ漏洩の統計になるという危機を回避したという。また、高校卒業後はロチェスター工科大学に進学するとのことで、需要のあるセキュリティスペシャリストになるための正しい道を歩んでいることは間違いありません。
私自身、セキュリティ担当者として、この状況がどのように処理されたかについて問題視しないわけにはいきません。このケースでは「終わりよければすべてよし」ですが、当初、彼は関係のないところで鼻を利かせる迷惑なスクリプトキッズのように扱われました。この事件をGoogleで検索すると、彼を「ハッカー」と呼ぶ記事が出てきます(セキュリティの素人からすると、これは多くの意味で彼を悪者に位置づけています)が、実際には彼のアプローチ(および他の多くの人々のアプローチ)が私たちのデータを安全に保つのに役立っているのです。
私たちは、好奇心旺盛で賢い、セキュリティに関心のある人々が、ボンネットの下を覗いてみることを必要としていますし、それをもっと頻繁に行う必要があるのです。7月の時点で、今年だけでも40億件以上の記録が悪意のあるデータ侵害によって流出しています。8月に発生したファッション・ライフスタイルブランド「Poshmark」の不正アクセスにより、この数字にさらに5,000万件が加わる可能性があります。
私たちは同じ過ちを犯しています。さらに心配なことに、その過ちは顔を真っ赤にするような、単純な弱点であることが多く、私たちを躓かせます。
クロスサイトスクリプティングやSQLインジェクションがなくなったわけではありません。
WIRED』が報じたところによると、「Blackboards Community Engagement software」と「Folletts Student Information System」には、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがDemirkapiによって発見された。これらのバグは、1990年代からセキュリティ専門家の舌の根も乾かぬうちに存在していました。
しかし、実際にはそうではありません。また、コードにこれらの問題が混入するのを防ぐために、十分なセキュリティ意識を持っている開発者が少ないことも明らかです。XSSやSQLインジェクションよりもはるかに複雑なセキュリティ上の問題があり、これらの高価で時間のかかる手段をより有効に活用することができます。
Bill Demirkapi氏のような人物は、開発者がより高い水準のコードを作成するよう促すべきです。彼はわずか17歳で、コードをコミットする前に嗅ぎ分けて修正すべき脅威ベクトルを用いて、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション。エンゲージメントの鍵とは?
私はこれまで、開発者がなぜセキュリティにあまり関心を示さないのかについて多くの記事を書いてきましたが、一言で言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育てるために多くのことが行われていないということです。企業が時間をかけて、開発者の言葉を理解し、努力を続ける意欲を高めるトレーニングを実施するなど、関与に報い、評価するセキュリティ文化を構築すると、私たちが使用するソフトウェアから、厄介な脆弱性の遺物が消えていきます。
Demirkapi氏は、明らかにセキュリティに特別な興味を持っており、マルウェアのリバースエンジニアリングや欠陥の発見、そして外見からは壊れているようには見えないものを壊す方法を時間をかけて学んできました。しかし、VICEの取材で(そしてDEF CONのスライドで)、彼はその自己啓発について興味深い発言をしています。
"学校のソフトウェアから何かを見つけ出すという目的で、ゲーム感覚で楽しみながらペネトレーションテストの重要性を学ぶことができました。もっと知りたいと思って始めた調査でしたが、結果的には予想以上に悪いことがわかりました」と語ります。
すべての開発者がセキュリティを専門にしたいと思うわけではありませんが、すべての開発者にセキュリティを意識する機会を与え、基本的な知識を身につけさせるべきです。最も簡単なセキュリティホールでも、開発者全員がコードを書く前にパッチを当てることができれば、大災害を引き起こそうとする人たちに対して、より安全な立場に立つことができます。
ゲーム化されたトレーニングについて興味がありますか?Coders Conquer Securityシリーズをご覧ください。 XSSや SQLインジェクション.
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
最近、10代のセキュリティ研究者Bill Demirkapi氏が、自分の学校で使用されているソフトウェアの重大な脆弱性を暴露したという報道は、いくつかの記憶を呼び起こしました。私は好奇心旺盛な子供で、ソフトウェアのフードを持ち上げて下を覗いてみたり、すべてがどのように機能しているのか、そしてもっと重要なことは、それを壊すことができるかどうかを確かめたりしたことを覚えています。何十年もの間、ソフトウェアエンジニアは製品の継続的な改善と強化を求めてきました。そしてセキュリティコミュニティは(時としてそのアプローチは少々生意気ではありますが)、欠陥や潜在的な災害を発見するという重要な役割を担っていますが、できれば悪人が同じことをする前に発見したいものです。
しかし、ここで問題となるのは、彼が発見したことに対して、学校から軽い停学処分を受けたことです。それも、彼が会社(Follett Corporation)に個人的に連絡する手段をすべて使い果たし、最終的には、自分がシステムに侵入したことを明らかにするために、かなり公然と爆破することを選んだ後でのことでした。彼が倫理的にFollett Corporationに警告しようと何度も試みましたが、返事はなく、ソフトウェアは脆弱なままで、多くの学生データが暗号化されていないため、かなり簡単に暴露されてしまいました。
また、Blackboardという別の会社のソフトウェアのバグも探しました。Blackboardのデータは少なくとも暗号化されていましたが、潜在的な攻撃者が侵入し、数百万件以上の記録を奪うことができたのです。このソフトウェアもFollett社の製品も、彼の学校で使用されていました。
邪悪なハッカー」という語り口は問題があります。
Demirkapiは今年のDEF CONで研究成果を発表し、彼のいたずらの詳細については観客の喝采を浴びました。彼は当初、悪者扱いされ、自分の発見を認めてもらうために多くの困難に直面していたが、Follett Corporationは彼の努力に感謝し、彼のアドバイスに基づいて行動し、最終的に自社のソフトウェアの安全性を高め、データ漏洩の統計になるという危機を回避したという。また、高校卒業後はロチェスター工科大学に進学するとのことで、需要のあるセキュリティスペシャリストになるための正しい道を歩んでいることは間違いありません。
私自身、セキュリティ担当者として、この状況がどのように処理されたかについて問題視しないわけにはいきません。このケースでは「終わりよければすべてよし」ですが、当初、彼は関係のないところで鼻を利かせる迷惑なスクリプトキッズのように扱われました。この事件をGoogleで検索すると、彼を「ハッカー」と呼ぶ記事が出てきます(セキュリティの素人からすると、これは多くの意味で彼を悪者に位置づけています)が、実際には彼のアプローチ(および他の多くの人々のアプローチ)が私たちのデータを安全に保つのに役立っているのです。
私たちは、好奇心旺盛で賢い、セキュリティに関心のある人々が、ボンネットの下を覗いてみることを必要としていますし、それをもっと頻繁に行う必要があるのです。7月の時点で、今年だけでも40億件以上の記録が悪意のあるデータ侵害によって流出しています。8月に発生したファッション・ライフスタイルブランド「Poshmark」の不正アクセスにより、この数字にさらに5,000万件が加わる可能性があります。
私たちは同じ過ちを犯しています。さらに心配なことに、その過ちは顔を真っ赤にするような、単純な弱点であることが多く、私たちを躓かせます。
クロスサイトスクリプティングやSQLインジェクションがなくなったわけではありません。
WIRED』が報じたところによると、「Blackboards Community Engagement software」と「Folletts Student Information System」には、クロスサイトスクリプティング(XSS)やSQLインジェクションなどの一般的なセキュリティバグが含まれていることがDemirkapiによって発見された。これらのバグは、1990年代からセキュリティ専門家の舌の根も乾かぬうちに存在していました。
しかし、実際にはそうではありません。また、コードにこれらの問題が混入するのを防ぐために、十分なセキュリティ意識を持っている開発者が少ないことも明らかです。XSSやSQLインジェクションよりもはるかに複雑なセキュリティ上の問題があり、これらの高価で時間のかかる手段をより有効に活用することができます。
Bill Demirkapi氏のような人物は、開発者がより高い水準のコードを作成するよう促すべきです。彼はわずか17歳で、コードをコミットする前に嗅ぎ分けて修正すべき脅威ベクトルを用いて、トラフィックの多い2つのシステムに侵入しました。
ゲーミフィケーション。エンゲージメントの鍵とは?
私はこれまで、開発者がなぜセキュリティにあまり関心を示さないのかについて多くの記事を書いてきましたが、一言で言えば、組織レベルでも教育レベルでも、セキュリティ意識の高い開発者を育てるために多くのことが行われていないということです。企業が時間をかけて、開発者の言葉を理解し、努力を続ける意欲を高めるトレーニングを実施するなど、関与に報い、評価するセキュリティ文化を構築すると、私たちが使用するソフトウェアから、厄介な脆弱性の遺物が消えていきます。
Demirkapi氏は、明らかにセキュリティに特別な興味を持っており、マルウェアのリバースエンジニアリングや欠陥の発見、そして外見からは壊れているようには見えないものを壊す方法を時間をかけて学んできました。しかし、VICEの取材で(そしてDEF CONのスライドで)、彼はその自己啓発について興味深い発言をしています。
"学校のソフトウェアから何かを見つけ出すという目的で、ゲーム感覚で楽しみながらペネトレーションテストの重要性を学ぶことができました。もっと知りたいと思って始めた調査でしたが、結果的には予想以上に悪いことがわかりました」と語ります。
すべての開発者がセキュリティを専門にしたいと思うわけではありませんが、すべての開発者にセキュリティを意識する機会を与え、基本的な知識を身につけさせるべきです。最も簡単なセキュリティホールでも、開発者全員がコードを書く前にパッチを当てることができれば、大災害を引き起こそうとする人たちに対して、より安全な立場に立つことができます。
ゲーム化されたトレーニングについて興味がありますか?Coders Conquer Securityシリーズをご覧ください。 XSSや SQLインジェクション.
始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
