左にシフトする
左にシフトする
もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。
一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。
識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません
O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。
IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。
私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
左にシフトする
もし開発者がJavaScriptでコーディング中にクロスサイトスクリプティングのエラーを書いたとしても、その欠陥を作ってから数分以内にそれを検出することができれば、修正に必要な時間は数分から数秒程度になるでしょう。
一方、その欠陥が2週間後に手動のテスターによって発見された場合は、欠陥追跡システムに入力されることになります。トリアージされます。誰かのバグキューに入れられることになります。
識別が遅れると、本来の文脈で研究しなければならなくなり、開発が遅れることになります。同じ欠陥を直すのに何時間もかかる可能性が出てきましたね。もしかしたら、10倍、100倍のスケールで時間がかかるかもしれません
O'Reilly Security Podcastに出演したChris Wysopal氏(CTO, Veracode)の最近のポッドキャストでは、セキュリティを左に(開発ライフサイクルの最初の段階で開発者に)シフトすることが、アジャイル環境でペースとスピードを維持するための鍵であることを説明しており、これ以上の同意はありません。
IDE のプラグインやスキャナーを使用したり、開発者に基本的なセキュリティスキル(衛生)を身につけさせたりすることで、開発者にとってセキュリティが容易になるようにすべきである。組織は、セキュリティの専門家や、すべての変更を検証する中央のセキュリティチームだけに頼るべきではありません。
私たちの典型的なセキュリティ手法は壊れており(専門家を呼ぶ)、アジャイル性を維持しながら品質を確実に維持するために、セキュリティを開発チームに統合する必要があります。