ソフトウェア開発とセキュリティの分野で私たちが直面している課題の一つは、過去20年間、同じような、あるいは現在のソフトウェアの脆弱性を目にしてきたことだと思います。静的なコード解析を行っても、脆弱性評価や侵入テストを行っても、同じ問題が異なる技術やコードの異なる部分で繰り返し発生しています。 

静的コード解析にしても、脆弱性評価や侵入テストにしても、これらの技術は問題点を指摘するだけで、実際に手を動かして解決する方法を教えてくれないことが多いというのが、2つ目の課題だと思います。ソフトウェアのセキュリティ問題の再発を防ぐだけでなく、ソフトウェア開発サイクルの中で迅速に解決したいと考えているからです。 

Secure Code Warrior では、開発者の開発プロセスやツールに統合しようとしています。それは、ソフトウェア開発者との関連性を高め、文脈に沿ったものにしたいからです。私たちは、開発者が実際の問題を解決するために、コーチングやガイドをする手助けをしたいと考えています。また、チケッティングシステムへの統合もその一例です。静的コード解析ツールやペンテストによってセキュリティバグが発見されたとき、私たちは開発者と一緒になって、関連するコーディングパターンや、特定のコーディング言語でこの問題を迅速に解決する方法についての情報を提供したいと考えています。このように、私たちは、開発者が実際に必要とするときに、私たちを本当にコンテクストに沿った存在にしたいのです。sensei のような技術を使えば、開発者のIDEの中でコンテクストに沿ったサービスを提供することができます。新入社員や若手の開発者が、セキュリティの脆弱性につながるようなコーディングを行っていることに気づいたとき、私たちは実際にそこにいて、問題を検出してその場でトレーニングを行うだけでなく、その問題を迅速に解決するためのガイダンスを提供し、さらにはIDE内で自動的にコードを書き換えることができるようにしたいと考えています。このようにして、私たちは関連性の高いコンテクストを提供するとともに、開発者が自分のチームで安全なコードを作成するための修正方法を、彼らのコーディング言語でソリューションとして提供したいと考えています。 

ですから、私たちの最終的な目標は、開発者のDNAにセキュリティを組み込むことです。私たちは左にシフトしたいのではなく、左からスタートしています。私たちは開発者を助け、最初から安全なコードを書けるようにしたいのです。そのために、開発者が使用しているコーディングや言語に特化した、実践的なゲーミフィケーションや楽しい学習体験を提供する環境を構築しているのです。開発者が安全なコードを迅速に書けるように、セキュリティを構築的で前向きな楽しい経験にしたいのです。

では、なぜ開発者はSecure Code Warrior が好きなのでしょうか？リアクトでコーディングするフロントエンド開発者、Javaやswiftでコーディングするモバイル開発者、あるいはCOBOLやRPG、JavaやC#に注力する昔ながらの開発者など、基本的にはそれぞれのコーディング言語やフレームワークでのスキルアップを支援していますので、実践的な方法でセキュリティを理解し、怖くない、学ぶのが楽しいものにすることができます。