IBMの調査によると、リリース後に脆弱性を修正するのは、最初に脆弱性を発見して修正するのに比べて30倍のコストがかかるとのことです。このことを考えれば、将来を見据えたCIOがセキュア・コーディング・プラクティスを導入することは驚くことではありません。これは、開発者が最初からより安全なコードを書けるようにトレーニングし、装備を整えることを意味し、開発者を組織の「第一の防御線」としています。このトレンドの実際の影響を測定するために、Secure Code Warrior は、Evans Data Corp*と共同で、セキュアコーディング、セキュアコードプラクティス、およびセキュリティオペレーションに対する開発者の態度に関する最新の調査を依頼しました。この調査により、セキュアコードプラクティスの導入は、企業にとって様々な面で変革をもたらすことが明らかになりました。ホワイトペーパーのダウンロード こちらから.

より自信を持って、心を込めてセキュアコーディングを行う

セキュアなコーディング手法を導入することで、開発者のセキュリティ意識が高まり、雇用者にとってもメリットがあることは間違いありません。当社の調査によると、開発者の55％が、優れたトレーニングによってコーディング技術に対する自信が高まったと回答し、53％が、優れたトレーニングによって自分のコードをデバッグしたりテストしたりする際に、より慎重になることができたと回答しています。同じく53％が、コードを書くときにセキュリティに気を配るようになったと考えています。

これは何を意味するのでしょうか。ちょっとしたスキルアップで、開発者はお客様の第一の防衛線に変わることができるということです。

スマートなツール選択とリリース速度の向上

セキュアコードトレーニングの影響について管理職に尋ねたところ、管理職の責任を反映した視点が見られました。43％の管理職は、セキュアコードトレーニングによって、コードのデバッグやテストをより慎重に行うようになったと回答しています。47%は、トレーニングのおかげで、より安全性の高いツールを選択することができるようになったと回答しています。しかし、おそらく最も重要なことは、44％が、セキュアコードのトレーニングとテクニックによって、時間を節約し、ソフトウェアのリリースをスピードアップすることができたと回答したことです。

全般的な生産性の向上

安全なコーディングが生産性向上にどのように役立っているかを開発者に尋ねたところ、半数以上の開発者がコーディングとアプリデザインの両方の品質向上に役立っていると感じています。  

63%が「繰り返し発生する脆弱性を防ぐことで、手戻りを減らすことができる」と回答。70%が、手直しやパッチにつながるエラーをなくすことができたと回答しています。56%が「デバッグとテストの生産性が向上した」と回答しています。ソフトウェア開発ライフサイクルの様々な段階で、変革が進行していることがわかります。

チームダイナミクスとコードクオリティ

セキュアコードの実践は、チームダイナミクスにも影響を与えます。開発者は個人的にはより安全なコードを学んでいますが、彼らのコードは真空状態では存在しません。開発者のコードは多くの場合、他の人の作業に依存しており、その逆もまた然りです。セキュアコーディングプラクティスを導入することで、開発者はセキュアコーディングの知識を共有したり、求めたりするようになり、開発者間、開発者と経営陣、開発チームとその利害関係者の間のコミュニケーションが改善されます。

• 調査対象となった開発者の60%が、セキュアなコードプラクティスを採用することで、他の開発者とのコミュニケーションが活発になったと考えています。
• 45%が「経営陣との接触が増えた」と回答。

これらの意見は、異なる観点からではありますが、管理者も同様に考えています。調査対象となったマネージャーの62％は、セキュアコードの実践により、人の管理により多くの時間を費やす必要があり、コードリリースの速度を上げることができると主張しています。

セキュアコードを実践している組織では、コミュニケーションの増加がチームダイナミクスにトランスフォームな影響を与え、コードの品質や市場への投入速度にプラスの影響を与えます。

リアクティブからプリベンションへの転換

最後に、安全なコードは、開発者や開発マネージャがセキュリティ対策を適用する方法や、それに伴う測定基準に影響を与えます。

現在、81%の企業がセキュリティの品質を判断する際に、欠陥数やスキャナーの測定値などのリアクティブな指標に依存しています。

しかし、このようなリアクティブな活動は、プロアクティブで予防的な指標によって補完されたり、その方法を変えたりすることが多くなっています。現在、67％の企業が、セキュリティ対策の指標として、OWASPトップ10に対する開発者の意識を測定しています。その他のプロアクティブな指標としては、以下のようなものが増加しています。

• アプリケーション・セキュリティに関する開発者のコンピテンシーの測定
• 事前に承認されたコードの使用
• 規制要件の遵守

現在、90％の開発者がこれらの予防措置に注意を払っています。しかし、安全なコーディング手法の認知度と実施率は高まっているものの、その可能性を十分に発揮するにはまだ時間がかかりそうです。

ここからどうすればいいのか？

セキュアコーディングの変革者として、Secure Code Warrior は、開発者を第一の防御ラインに変え、全体的なセキュリティアプローチをリアクティブからプロアクティブにするために、人間が主導するアプローチをとっています。実績のあるlearning platform では、開発者が実社会で直面する課題を想定し、52の言語とフレームワークに特化したカテゴリーで、文脈に沿った実践的な教育を提供しています。私たちは、開発者が理論に基づく静的な学習の苦労よりも、実行しながら学ぶ方法を好むことを、深い経験から知っています。開発者が自信を持って高品質なコードを出荷できるようになるために、チームにどのような影響を与えることができるのかを知りたい方は、今すぐデモを予約してください。

‍

*リアクションからプリベンションへのシフト。The changing face of application security.Secure Code Warrior and Evans Data Corp. 2020
1.IBM Software Group; Minimizing Code Defects to Improve Software Quality and Lower Development Cost - (コード欠陥の最小化によるソフトウェア品質の向上と開発コストの削減) https://docplayer.net/11413245-Minimizing-code-defects-to-improve-software-quality-and-lower-development-costs.html

‍