It takes a village:コミュニティの精神がより安全な開発者を生み出す
It takes a village "という言葉は、アフリカに古くから伝わることわざで、アフリカの様々な文化、方言、地理的な場所で使われています。将来の世代を豊かな大人に育てるためには、安全で、前向きで、啓発的な環境をコミュニティ全体で作り上げる必要があります。
しかし、開発者コミュニティは何十年にもわたってこの原則に基づいて発展してきました。反社会的な「一匹狼」のオタクがコンピュータに向かっているという概念は、多くのステレオタイプと同様、誇張されたものであり、我々がどのように活動しているかを知るための最良の方法ではありません。開発者には様々なタイプ、様々な職業の人がいて、私たちの活動には常にコミュニティの意識があります。
インターネットが一般的になるずっと前から、私たちは掲示板でヒントを共有したり、問題を解決したり、ベストプラクティスをめぐって口論したりしていました(そして、私の側では、物を壊すことに一生懸命でした)。この気持ちは今も変わっていません。しかし、RedditやStack Overflowのような場所に飛び込めば、助け合いの精神や仲間意識、そして豊富な情報をすぐに感じることができます。
しかし、私たちが支援できることのひとつは、同じことを経験している人たちとの現実世界でのつながりです。リアルな世界での交流には新たな意味があります。「IRL」コミュニティを促進することで、知識の共有や明確化が促進され、素晴らしい方法で視野を広げることができます。
開発者コミュニティはどのようにセキュリティをサポートしていますか?
OWASPのような組織は、脆弱性、ニュース、および重要な警告に関する豊富な無料のリソースを提供し、セキュリティ・コミュニティにおいて素晴らしい活動を行っています。オフラインでは、世界中の都市にOWASPの支部があり、人々が集まってセキュリティについて話し合い、ソフトウェアをより安全にするためのヒントを共有するイベントを定期的に開催しています。これは本当に素晴らしいことで、私にとっては、開発コミュニティとは何かということを教えてくれます。
オンラインでも対面式でも、このようなコミュニティは、開発者間のスキルや知識のギャップを解消するのに役立ちます。経験豊富な開発者の多くは、情報を伝えたり、誰かが始めるのを手伝ったり、正しい方向を示したりすることに喜びを感じています(優れたジェダイは、たまにはパダワンを助ける必要があることを知っています)。
そのため、セキュアコーディングtournaments のようなイベントを開催するために、彼らとパートナーを組むことができるのは、本当に嬉しいことです。これまでに、オーストラリア、イギリス、インド、アメリカで開催されたミートアップをサポートしてきましたが、これからもたくさんのミートアップが開催されることを願っています。
OWASPtournament のミートアップはどのようなものでしょうか?ロンドンの象徴的な BBC スタジオで開催された OWASPtournament のビデオをご覧ください。
このようなイベントは認知度を高めるのに役立ち、この勢いは、組織内で、このような草の根活動を支援し、本格的なセキュアコーディングトレーニングを導入し、積極的なセキュリティ文化の運用を約束する際に活用することができます。
ゲーミフィケーションとtournaments は、より安全な開発者を生み出すのにどのように役立つのでしょうか?
OWASP ミートアップは、セキュリティに関心のある幅広い層の人々と交流し、知識を共有し、アイデアを議論することを目的としています。しかし、セキュリティに慣れていない(あるいは、まだ興味を持っていない)人にとっては、これらのイベントは注目されないかもしれません。
組織がセキュリティ意識の構築に積極的な役割を果たし、開発者集団の間で実際に関心を持たせることができれば、セキュリティに関する知識を生涯にわたって探求する姿勢を身につけるというプラスの効果が期待できます。これは、誰もが安全なコーディングに真剣に取り組むようになるために必要なことなのです。
一般的なトレーニング方法では、大きなモチベーションを得ることはできませんが(教室に座って仕事が山積みになったり、延々と続くビデオを見て眠らないようにしたりすることを想像してみてください)、競争心や楽しさ、そしてプロセスをゲーム化することで、学習をずっと苦にならないものにすることができます。ゲーム化された学習方法は、技術的な知識(時には乾いた知識)をはるかに消化しやすくし、文脈に沿って記憶に残り、繰り返し学習することを可能にします。Secure Code Warrior は、アクセシビリティの基礎の上に構築されており、開発者が創造性や問題解決のための一般的な本能を示す方法で、以前の学習内容を段階的に追加していくことができます。
評価は、全員が軌道に乗り、改善すべき点を明らかにするのに役立ちますが、セキュアコーディングtournament は、組織のセキュリティ意識を高め、前向きな変化をもたらす触媒として、また、参加者が自分の強固なスキルを披露する手段としても役立ちます。結局のところ、tournament のリーダーボードがリアルタイムで更新されているのを見ると、より多くのポイントを獲得して、自分のセキュリティ能力を大いに発揮しようという意欲が湧いてくるのです。
tournament を成功させるにはどうすればいいのでしょうか?
OWASPとのミートアップの目的は、常にセキュリティ・コミュニティの継続的な健全性に投資し、セキュリティについて学ぶことは実際に楽しいことだという概念を広めることにあります。
セキュアコーディングtournaments は、開発者を惹きつけ、志を同じくする人たちとの社会的環境の中でスキルを磨き、実現するためには当然のことです。また、仕事や教育の場での不愉快な経験から、「セキュリティ」という概念の周りに存在する人工的な壁を取り除くことができます。
真に優れたtournament は、一般的に以下のように構成されています。
- 開発チーム以外の人々に、何が起きているのか、なぜ起きているのかを知ってもらうために、組織内で少しずつファンファーレを行う
- すべてのレベルの開発者をサポートする、批判のない環境
- 特別な特典として、食べ物や飲み物を注文したり、テーマを決めて自己表現を促したりすることができます。
- 報酬と表彰:私たち開発者はグッズが大好きで、受賞者には素敵な賞品が用意されています:このプロセスの中で、将来のセキュリティチャンピオンが発掘されるかもしれません。
- コミュニティや仲間意識を持つことができる。
ソフトウェア開発プロジェクトの初期段階からセキュリティに焦点を当てるようになった今、開発者は効果的なトレーニングを受けて早期に関与する必要があります。開発者は、コードが書かれた瞬間から組織を脆弱性から守るために不可欠な存在であり、活発なセキュリティ文化の中では、誰もが安心して活動することができます。
ピーテル・ダンヒユー
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
It takes a village:コミュニティの精神がより安全な開発者を生み出す
It takes a village "という言葉は、アフリカに古くから伝わることわざで、アフリカの様々な文化、方言、地理的な場所で使われています。将来の世代を豊かな大人に育てるためには、安全で、前向きで、啓発的な環境をコミュニティ全体で作り上げる必要があります。
しかし、開発者コミュニティは何十年にもわたってこの原則に基づいて発展してきました。反社会的な「一匹狼」のオタクがコンピュータに向かっているという概念は、多くのステレオタイプと同様、誇張されたものであり、我々がどのように活動しているかを知るための最良の方法ではありません。開発者には様々なタイプ、様々な職業の人がいて、私たちの活動には常にコミュニティの意識があります。
インターネットが一般的になるずっと前から、私たちは掲示板でヒントを共有したり、問題を解決したり、ベストプラクティスをめぐって口論したりしていました(そして、私の側では、物を壊すことに一生懸命でした)。この気持ちは今も変わっていません。しかし、RedditやStack Overflowのような場所に飛び込めば、助け合いの精神や仲間意識、そして豊富な情報をすぐに感じることができます。
しかし、私たちが支援できることのひとつは、同じことを経験している人たちとの現実世界でのつながりです。リアルな世界での交流には新たな意味があります。「IRL」コミュニティを促進することで、知識の共有や明確化が促進され、素晴らしい方法で視野を広げることができます。
開発者コミュニティはどのようにセキュリティをサポートしていますか?
OWASPのような組織は、脆弱性、ニュース、および重要な警告に関する豊富な無料のリソースを提供し、セキュリティ・コミュニティにおいて素晴らしい活動を行っています。オフラインでは、世界中の都市にOWASPの支部があり、人々が集まってセキュリティについて話し合い、ソフトウェアをより安全にするためのヒントを共有するイベントを定期的に開催しています。これは本当に素晴らしいことで、私にとっては、開発コミュニティとは何かということを教えてくれます。
オンラインでも対面式でも、このようなコミュニティは、開発者間のスキルや知識のギャップを解消するのに役立ちます。経験豊富な開発者の多くは、情報を伝えたり、誰かが始めるのを手伝ったり、正しい方向を示したりすることに喜びを感じています(優れたジェダイは、たまにはパダワンを助ける必要があることを知っています)。
そのため、セキュアコーディングtournaments のようなイベントを開催するために、彼らとパートナーを組むことができるのは、本当に嬉しいことです。これまでに、オーストラリア、イギリス、インド、アメリカで開催されたミートアップをサポートしてきましたが、これからもたくさんのミートアップが開催されることを願っています。
OWASPtournament のミートアップはどのようなものでしょうか?ロンドンの象徴的な BBC スタジオで開催された OWASPtournament のビデオをご覧ください。
このようなイベントは認知度を高めるのに役立ち、この勢いは、組織内で、このような草の根活動を支援し、本格的なセキュアコーディングトレーニングを導入し、積極的なセキュリティ文化の運用を約束する際に活用することができます。
ゲーミフィケーションとtournaments は、より安全な開発者を生み出すのにどのように役立つのでしょうか?
OWASP ミートアップは、セキュリティに関心のある幅広い層の人々と交流し、知識を共有し、アイデアを議論することを目的としています。しかし、セキュリティに慣れていない(あるいは、まだ興味を持っていない)人にとっては、これらのイベントは注目されないかもしれません。
組織がセキュリティ意識の構築に積極的な役割を果たし、開発者集団の間で実際に関心を持たせることができれば、セキュリティに関する知識を生涯にわたって探求する姿勢を身につけるというプラスの効果が期待できます。これは、誰もが安全なコーディングに真剣に取り組むようになるために必要なことなのです。
一般的なトレーニング方法では、大きなモチベーションを得ることはできませんが(教室に座って仕事が山積みになったり、延々と続くビデオを見て眠らないようにしたりすることを想像してみてください)、競争心や楽しさ、そしてプロセスをゲーム化することで、学習をずっと苦にならないものにすることができます。ゲーム化された学習方法は、技術的な知識(時には乾いた知識)をはるかに消化しやすくし、文脈に沿って記憶に残り、繰り返し学習することを可能にします。Secure Code Warrior は、アクセシビリティの基礎の上に構築されており、開発者が創造性や問題解決のための一般的な本能を示す方法で、以前の学習内容を段階的に追加していくことができます。
評価は、全員が軌道に乗り、改善すべき点を明らかにするのに役立ちますが、セキュアコーディングtournament は、組織のセキュリティ意識を高め、前向きな変化をもたらす触媒として、また、参加者が自分の強固なスキルを披露する手段としても役立ちます。結局のところ、tournament のリーダーボードがリアルタイムで更新されているのを見ると、より多くのポイントを獲得して、自分のセキュリティ能力を大いに発揮しようという意欲が湧いてくるのです。
tournament を成功させるにはどうすればいいのでしょうか?
OWASPとのミートアップの目的は、常にセキュリティ・コミュニティの継続的な健全性に投資し、セキュリティについて学ぶことは実際に楽しいことだという概念を広めることにあります。
セキュアコーディングtournaments は、開発者を惹きつけ、志を同じくする人たちとの社会的環境の中でスキルを磨き、実現するためには当然のことです。また、仕事や教育の場での不愉快な経験から、「セキュリティ」という概念の周りに存在する人工的な壁を取り除くことができます。
真に優れたtournament は、一般的に以下のように構成されています。
- 開発チーム以外の人々に、何が起きているのか、なぜ起きているのかを知ってもらうために、組織内で少しずつファンファーレを行う
- すべてのレベルの開発者をサポートする、批判のない環境
- 特別な特典として、食べ物や飲み物を注文したり、テーマを決めて自己表現を促したりすることができます。
- 報酬と表彰:私たち開発者はグッズが大好きで、受賞者には素敵な賞品が用意されています:このプロセスの中で、将来のセキュリティチャンピオンが発掘されるかもしれません。
- コミュニティや仲間意識を持つことができる。
ソフトウェア開発プロジェクトの初期段階からセキュリティに焦点を当てるようになった今、開発者は効果的なトレーニングを受けて早期に関与する必要があります。開発者は、コードが書かれた瞬間から組織を脆弱性から守るために不可欠な存在であり、活発なセキュリティ文化の中では、誰もが安心して活動することができます。
