あなたが最後に仕事をしていたときのことを考えてみてください。おそらくソフトウェアのプロジェクトチームの中で、不可能な期限に向かって仕事をしていたのではないでしょうか。そんなとき、上司がやってきて、必須のセキュリティトレーニングがあるから、他の仕事に加えて、そのトレーニングを仕事に組み込む必要があると言いました。

彼らもあなたも、それを知っています。これは非常に面倒なことですが、コンプライアンス上の理由から、あなたは退屈なトレーニングビデオをバックグラウンドで流しながらコーディングを続け、両方の作業に参加したり離れたりして、どちらにも全神経を集中させることになります。これはよくあることで、非常に混乱を招き、皆の時間を無駄にしてしまいます。ほとんどのセキュリティトレーニングは一般的なもので、仕事の合間を縫って行われるものには価値がなく、無視してしまいがちです。

会社としての目標は、より良い、より効果的なセキュリティトレーニングを皆様にお届けすることです。これは、AppSecチームが重要だと言っていることから離れ、それぞれの優先順位がずれてしまうことがどのようなことなのかをよく知っているからこそ生まれたものです。しかし、興味深いのは、必要なときにトレーニングを受けるための障壁を減らすために何ができるかを考え始めたことです。私たちの完全なプラットフォームを使っても、トレーニングセッションに集中できないときには、仕事から離れるためのいくつかのステップがあります。

私たちは、IDEや課題追跡システムなどのワークフローに、マイクロラーニングをよりシームレスに導入する方法を検討しました。そしてたどり着いたのが、これです。

これは、JiT（Just-in-Time）の原則に基づいており、正しい知識を正しいタイミングで提供することで、すぐに効果的で有用な知識を得ることができます。これは、情報が氾濫し、機能を構築するための貴重な時間と頭脳を奪うことになりがちなJust in Caseの学習方法とは正反対のものです。

品質の高いコードは安全なコードであり、もしあなたが時折コラボレーションするために、侵襲性のないセキュリティの相棒を必要としているのであれば、それを試してみる価値はあるかもしれません。

障壁をなくし、トレーニングをあなたのもとへ。

サイバーセキュリティに興味を持つ人はいるかもしれませんが、すべての人ではありません。また、開発者がセキュリティの専門家になることを期待するべきではありません。それは、依然としてAppSec専門チームの仕事です。しかし、セキュリティに精通した開発者は、そのスキルと、コード構築の段階から組織を保護することができるという点で高く評価されています。

統合トレーニングをクリッピーのようなものと考えている方には重要なことですが、Secure Code Warrior の統合トレーニングは開発者が開発者のために作ったものであり、刺激的な要素は考慮されていません。

実際にチェックしてみましょう。

Secure Code Warrior for Githubは、ラベル、課題のタイトル、および課題の本文に含まれるCWE（Common Weakness Enumeration）またはOWASPの参照をコードで検査し、文脈に沿ったジャストインタイムトレーニングを表示します。脆弱性の参照が見つかった場合には、迅速な解決と脆弱性の再発防止を支援するために、課題にコメントが投稿されます。これにより、お客様のプロセスを中断したり、解決のために手間をかけさせたりすることなく、課題に統合されます。

また、Jiraを使用している場合も同様のプロセスとなります。

さて、現役のセキュリティ意識の高いスーパースターは、自分の力だけで魔法を起こせるわけではないことを忘れてはいけません。サポート、トレーニング、そしてセキュリティを真剣に考え、自分のワークフローに取り入れる理由が必要になります。幸いなことに、これらはすべて、機能するDevSecOpsプロセスの一部であり、多くの組織がすでに注目しています。

今すぐダウンロードして、ご意見をお聞かせください。