DevSecOpsに明るい未来はあるのか?それはあなたが思っているよりも近くにある

2018年8月13日発行
ピーテル・ダンヒョウ著
ケーススタディ

DevSecOpsに明るい未来はあるのか?それはあなたが思っているよりも近くにある

2018年8月13日発行
ピーテル・ダンヒョウ著
リソースを見る
リソースを見る

Data Breach Todayに掲載されたSuparna Goswami氏の洞察に満ちた記事に、多くの専門家とともに貢献できたことを嬉しく思います。Suparna Goswami氏が指摘するように、ソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティに取り組むことが、データ漏洩を防ぐために不可欠であることは広く認められていますが、「言うは易く行うは難し」です。最近の調査結果によると、継続的インテグレーション/継続的デリバリ(CI/CD)ワークフローにおけるアプリケーションセキュリティの最大の課題は、以下の通りです。"自動化され、統合されたセキュリティ・テスト・ツールがない」というものです。

私の考えでは、DevSecOpsは、開発者がコードを書き始めたときから始めるべきです。DevSecOpsが効果的に機能するためには、開発者が最初から安全なコードを書くための教育、スキル、ツールを持つことから始めなければなりません。もし開発者がリアルタイムで安全なコードを書くことを教えられれば、あるいは、もっと言えば、そもそも多くのバグを作らないようにすれば、セキュリティ・マネージャーやテスト・ツールは、本当に困難で複雑な脆弱性をタイムリーに発見し、修正することに集中できるようになります。

コードの脆弱性を発見するソリューションは数多くありますが、セキュリティでは、開発者がこのようなミスを未然に防ぐためのセキュリティガイドラインに従うことを教えることにもっと重点を置く必要があります。

開発者は、安全なコードを書くための支援を受け、コードを書いているときに犯す大部分のエラーを修正する必要がありますが、これを実現する技術が存在することを誇りに思います。スペルや文法の修正ツールが作家を助けるように、開発者も関連する言語やセキュリティポリシーの指示に従って、安全なコードを書くようにリアルタイムで支援できるようになりました。これこそが、DevSecOpsのより簡単で明るい未来だと私は考えています。

それこそが、私たちのSecure Code Warrior Sensei開発チームのためのリアルタイムのセキュリティコーチとして機能し、AppSecによってコントロールされ、セキュリティガイドラインが常に開発者の側にあることを保証します。これにより、開発者は、より一貫性のある、より安全で迅速なコーディングができるようになります。 当社のアーリーアダプタープログラムでは、1つのバグにつき平均3時間かかっていた問題の修正時間が、わずか10分に短縮されたことが確認されています。

私たちは、DevSecOpsのタイムラインに沿って、効率的に、そして最も重要なことですが、正確に作業できるセキュリティツールを使用する必要があります。今こそ、より高い水準のソフトウェア・セキュリティを目指す時なのです。

コードの脆弱性を発見するソリューションは数多くありますが、セキュリティでは、開発者がこのようなミスを未然に防ぐためのセキュリティガイドラインに従うことを教えることにもっと重点を置く必要があります。
リソースを見る
リソースを見る

著者

ピーテル・ダンヒユー

Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。

もっと知りたい?

セキュアコーディングに関する最新の知見をブログでご紹介しています。

当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。

ブログを見る
もっと知りたい?

開発者主導のセキュリティに関する最新の研究成果を入手する

ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。

リソース・ハブ

DevSecOpsに明るい未来はあるのか?それはあなたが思っているよりも近くにある

2018年8月13日発行
Pieter Danhieux著

Data Breach Todayに掲載されたSuparna Goswami氏の洞察に満ちた記事に、多くの専門家とともに貢献できたことを嬉しく思います。Suparna Goswami氏が指摘するように、ソフトウェア開発ライフサイクル(SDLC)の早い段階でセキュリティに取り組むことが、データ漏洩を防ぐために不可欠であることは広く認められていますが、「言うは易く行うは難し」です。最近の調査結果によると、継続的インテグレーション/継続的デリバリ(CI/CD)ワークフローにおけるアプリケーションセキュリティの最大の課題は、以下の通りです。"自動化され、統合されたセキュリティ・テスト・ツールがない」というものです。

私の考えでは、DevSecOpsは、開発者がコードを書き始めたときから始めるべきです。DevSecOpsが効果的に機能するためには、開発者が最初から安全なコードを書くための教育、スキル、ツールを持つことから始めなければなりません。もし開発者がリアルタイムで安全なコードを書くことを教えられれば、あるいは、もっと言えば、そもそも多くのバグを作らないようにすれば、セキュリティ・マネージャーやテスト・ツールは、本当に困難で複雑な脆弱性をタイムリーに発見し、修正することに集中できるようになります。

コードの脆弱性を発見するソリューションは数多くありますが、セキュリティでは、開発者がこのようなミスを未然に防ぐためのセキュリティガイドラインに従うことを教えることにもっと重点を置く必要があります。

開発者は、安全なコードを書くための支援を受け、コードを書いているときに犯す大部分のエラーを修正する必要がありますが、これを実現する技術が存在することを誇りに思います。スペルや文法の修正ツールが作家を助けるように、開発者も関連する言語やセキュリティポリシーの指示に従って、安全なコードを書くようにリアルタイムで支援できるようになりました。これこそが、DevSecOpsのより簡単で明るい未来だと私は考えています。

それこそが、私たちのSecure Code Warrior Sensei開発チームのためのリアルタイムのセキュリティコーチとして機能し、AppSecによってコントロールされ、セキュリティガイドラインが常に開発者の側にあることを保証します。これにより、開発者は、より一貫性のある、より安全で迅速なコーディングができるようになります。 当社のアーリーアダプタープログラムでは、1つのバグにつき平均3時間かかっていた問題の修正時間が、わずか10分に短縮されたことが確認されています。

私たちは、DevSecOpsのタイムラインに沿って、効率的に、そして最も重要なことですが、正確に作業できるセキュリティツールを使用する必要があります。今こそ、より高い水準のソフトウェア・セキュリティを目指す時なのです。

コードの脆弱性を発見するソリューションは数多くありますが、セキュリティでは、開発者がこのようなミスを未然に防ぐためのセキュリティガイドラインに従うことを教えることにもっと重点を置く必要があります。

弊社製品や関連するセキュアコーディングのトピックに関する情報をお送りする許可をお願いします。当社は、お客様の個人情報を細心の注意を払って取り扱い、マーケティング目的で他社に販売することは決してありません。

フォームを送信するには、「Analytics」のCookieを有効にしてください。完了したら、再度無効にしてください。