セキュアコーディングの成果を上げるためのセキュアコードトレーニングの設定方法
.png)
開発者向けのセキュア・コード・トレーニングに関しては、教育の成果には多くの課題があります。多くの企業が多額の費用を投じても、実際には最小限の利益しか得られないのが現状です。それも不思議ではありません。 現在の調査*によると、開発者は、セキュアコードの学習は退屈で、セキュアコードの実装方法を学ぶのは難しいと考えています。そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、開発者のセキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する態度についての一次調査を実施しました(ホワイトペーパーをダウンロードしてください。 こちら).
現在提供されているトレーニングを批判する機会を与えられた開発者たちは、現在のセキュアコードトレーニングは次のように主張しました。
- 真空状態で教えられる - 40
- 理論的すぎる、自分の仕事に関係ない、「実践」が足りない - 40
- 頻繁ではない、仕事とは関係ない、魅力的ではない - 30%。
これらの統計は深刻で、現在のセキュアコードトレーニングは、開発者が日々行っていることとは無関係で、意味のないものであることを物語っています。
また、学んだことを職場で生かすことができないことも少なくありません。これでは、多くのセキュリティトレーニングが時間とお金の無駄になってしまいます。
開発者が求めるトレーニングを構築するための5つの方法
開発者がどのようなトレーニングを望んでいるかについては、5つのことが明確になりました。
- 75%の開発者は、構造化されたオン・ザ・ジョブ・トレーニングを好んでおり、それが最も効果的で満足のいく学習方法であると考えている。
また、そのトレーニングが何を含むべきかについては、開発者は非常に明確で具体的な要求を持っている。 - 65%が言語固有の脆弱性に関するトレーニングの強化が必要と回答
- 65%がOWASP トップ 10のトレーニングを増やしたいと考えている。
- また、NIST(58%)、CIS(52%)、PCI DSS(50%)など、コンプライアンス・セキュリティ・フレームワークへの注力を望む声も多い。
- 78% は、トレーニングの一環として、非公式のピアコーチングやガイダンスを求めています。
しかし、何よりも開発者が求めているのは、日々の業務に根ざした実践的なセキュアコードトレーニングです。開発者は、座って講師の話を聞くのではなく、実際に手に取って自分で試してみたいのです。彼らが求めているのは実践的なアプリケーションであり、現在のトレーニングプログラムにはその点が大きく欠けています。私たちが調査した開発者によると、優れたトレーニングの特徴は次の5つです。
- より実践的なトレーニング、実際の仕事のシナリオを示す(30%)。
- 特定のコードや脆弱性に焦点を当てたガイド活動(24%)。
- Inclusion of more examples or use cases (24%) Provides some concrete advantage to taking the training (<20%) Incorporates more team-building exercises (<20%).
- トレーニングを受けることで、何らかの具体的なメリットがある。
- より多くのチームビルディングのためのエクササイズを取り入れています。
開発者は、基本的なスキルを習得し、真の評価を得られるセキュアコードトレーニングを求めています。セキュアコーディングスキルは雇用主から高く評価されているため、開発者は、特に新しい仕事に応募する際に、同業者との差別化を図ることに熱意を示しています。技術的な熟練度や専門的なスキルを証明しようとする開発者は、長い間、正式な認定プログラムを利用してきました。資格取得のために体系的なトレーニングプログラムを求めているかどうかを尋ねたところ、70%がこうしたプログラムを求めていることが明らかになった。その大きな動機は、身につけたスキルを公的に認められたい、仕事の効率を上げたい、会社にとってかけがえのない存在になりたい、などであった。
教育の成果を上げるためには、開発者を中心としたトレーニングが重要です。 構造化されたセキュアコードトレーニングは、開発者にとって望ましいものですが、それは開発者が望むものを提供している場合のみです。この課題に取り組み、開発者のニーズに合わせてセキュアコードトレーニングを再構成した企業は、繰り返し発生する脆弱性の減少、コードの迅速な提供、そしてそれに伴う高い評価というメリットを得ることができます。
開発者が望んでいるのは、関連するプログラミング言語やフレームワークを用いた、実社会で直面する課題に即した実践的な教育であることは明白な証拠です。Secure Code Warrior は、安全なコーディングに変化をもたらすチャンピオンとして、開発者の要望を実現するために人間主導のアプローチを取っています。あなたのチームが安全なコードをより早く出荷できるようになることへの潜在的な影響を確認したい場合は、, 今すぐデモを申し込む.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
セキュアコーディングの成果を上げるためのセキュアコードトレーニングの設定方法
開発者向けのセキュア・コード・トレーニングに関しては、教育の成果には多くの課題があります。多くの企業が多額の費用を投じても、実際には最小限の利益しか得られないのが現状です。それも不思議ではありません。 現在の調査*によると、開発者は、セキュアコードの学習は退屈で、セキュアコードの実装方法を学ぶのは難しいと考えています。そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、開発者のセキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する態度についての一次調査を実施しました(ホワイトペーパーをダウンロードしてください。 こちら).
現在提供されているトレーニングを批判する機会を与えられた開発者たちは、現在のセキュアコードトレーニングは次のように主張しました。
- 真空状態で教えられる - 40
- 理論的すぎる、自分の仕事に関係ない、「実践」が足りない - 40
- 頻繁ではない、仕事とは関係ない、魅力的ではない - 30%。
これらの統計は深刻で、現在のセキュアコードトレーニングは、開発者が日々行っていることとは無関係で、意味のないものであることを物語っています。
また、学んだことを職場で生かすことができないことも少なくありません。これでは、多くのセキュリティトレーニングが時間とお金の無駄になってしまいます。
開発者が求めるトレーニングを構築するための5つの方法
開発者がどのようなトレーニングを望んでいるかについては、5つのことが明確になりました。
- 75%の開発者は、構造化されたオン・ザ・ジョブ・トレーニングを好んでおり、それが最も効果的で満足のいく学習方法であると考えている。
また、そのトレーニングが何を含むべきかについては、開発者は非常に明確で具体的な要求を持っている。 - 65%が言語固有の脆弱性に関するトレーニングの強化が必要と回答
- 65%がOWASP トップ 10のトレーニングを増やしたいと考えている。
- また、NIST(58%)、CIS(52%)、PCI DSS(50%)など、コンプライアンス・セキュリティ・フレームワークへの注力を望む声も多い。
- 78% は、トレーニングの一環として、非公式のピアコーチングやガイダンスを求めています。
しかし、何よりも開発者が求めているのは、日々の業務に根ざした実践的なセキュアコードトレーニングです。開発者は、座って講師の話を聞くのではなく、実際に手に取って自分で試してみたいのです。彼らが求めているのは実践的なアプリケーションであり、現在のトレーニングプログラムにはその点が大きく欠けています。私たちが調査した開発者によると、優れたトレーニングの特徴は次の5つです。
- より実践的なトレーニング、実際の仕事のシナリオを示す(30%)。
- 特定のコードや脆弱性に焦点を当てたガイド活動(24%)。
- Inclusion of more examples or use cases (24%) Provides some concrete advantage to taking the training (<20%) Incorporates more team-building exercises (<20%).
- トレーニングを受けることで、何らかの具体的なメリットがある。
- より多くのチームビルディングのためのエクササイズを取り入れています。
開発者は、基本的なスキルを習得し、真の評価を得られるセキュアコードトレーニングを求めています。セキュアコーディングスキルは雇用主から高く評価されているため、開発者は、特に新しい仕事に応募する際に、同業者との差別化を図ることに熱意を示しています。技術的な熟練度や専門的なスキルを証明しようとする開発者は、長い間、正式な認定プログラムを利用してきました。資格取得のために体系的なトレーニングプログラムを求めているかどうかを尋ねたところ、70%がこうしたプログラムを求めていることが明らかになった。その大きな動機は、身につけたスキルを公的に認められたい、仕事の効率を上げたい、会社にとってかけがえのない存在になりたい、などであった。
教育の成果を上げるためには、開発者を中心としたトレーニングが重要です。 構造化されたセキュアコードトレーニングは、開発者にとって望ましいものですが、それは開発者が望むものを提供している場合のみです。この課題に取り組み、開発者のニーズに合わせてセキュアコードトレーニングを再構成した企業は、繰り返し発生する脆弱性の減少、コードの迅速な提供、そしてそれに伴う高い評価というメリットを得ることができます。
開発者が望んでいるのは、関連するプログラミング言語やフレームワークを用いた、実社会で直面する課題に即した実践的な教育であることは明白な証拠です。Secure Code Warrior は、安全なコーディングに変化をもたらすチャンピオンとして、開発者の要望を実現するために人間主導のアプローチを取っています。あなたのチームが安全なコードをより早く出荷できるようになることへの潜在的な影響を確認したい場合は、, 今すぐデモを申し込む.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
