サイバー脅威が増大し続ける世界で、貴社のコーダーはステップアップしていますか？セキュアコーディングの人間的要素である重要な開発者は、接続された世界の安全性を確保するための役割を果たす準備ができているのでしょうか？この疑問に答えるために、Secure Code Warrior と Evans Data Corp.が実施した、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者の態度に関する最近の調査から、いくつかの洞察を見てみましょう。

開発者の安全なコーディングスキル - 認識と現実

まもなく発表されるShifting from reaction to prevention:また、調査対象となった開発者の97％は、セキュアコーディングに関する十分なトレーニングを受けたと考えており、95％はセキュアコーディングのトレーニングが自分のキャリアにとって有益であったと考えています。しかし、これらの主張を鵜呑みにする前に、いくつかの重要な質問をしてみる必要があります。なぜコードの脆弱性は未だに蔓延しているのか？「開発者がこれほどまでに安全なコーディングのトレーニングを受けているにもかかわらず、なぜ同じ古い脆弱性が何度も何度も出てくるのでしょうか？過去20年以上にわたり、セキュリティ侵害の大半を引き起こしているのは、同じ10個のソフトウェア脆弱性なのです。

本当はどうなんだろう？ 

開発者は、自分はセキュリティに関して十分な訓練を受けていると言うが、これは過信だろうか。重要なのは、このポジティブな自己紹介assessment が、セキュアコーディングの難しさに対する開発者自身の見解と矛盾していることです。ほとんどの開発者が、貴重で十分なトレーニングを受けたと答えているにもかかわらず、ほとんどの開発者と開発マネージャは、安全なコードの実践が少なからず難しいと感じています。 

• 開発マネージャーの91％以上が、セキュアなコードプラクティスの導入は難しいと答えています。 
• 88%以上の開発者が、安全なコーディングは難しいと感じています。セキュアコーディングの重要な「人的要素」として、開発者は必要なセキュアコードのトレーニングを受けていません。このことは、開発者の思考方法にセキュリティを本質的に組み込む、より優れたセキュアコードのトレーニングと スキルアップが必要であることを示しています。 

セキュアコードの実装はなぜ難しいのでしょうか？

これにより、28%が学習プロセスにやりがいを感じており、24%が学習プロセス自体が退屈だと感じていることが明らかになりました。

これらの関心事には、関連する意味があります。学習プロセスが難しいため、より魅力的なトレーニングが必要である。また、学習プロセスが退屈なので、開発者に関連したトレーニングが必要であり、開発者に焦点を当てた成人向け学習の必要性が強調されている。

"私は何かを学び、それを定着させ、他のシナリオに適切に適用できるようにしたいのです。それはSecure Code Warrior でしょう。"

シニア・スタッフ・ソフトウェア・エンジニア @ ForgeRock

ミッシングリンク

Secure Code Warrior は、安全なコーディングに変化をもたらすチャンピオンとして、安全なコーディングスキルを身につけることが前向きでやりがいのある経験となるよう、人間主導のアプローチをとっています。私たちは、100％ハンズオンの楽しくインタラクティブなトレーニングを通じて、開発者に安全なコーディングの実践を十分に理解してもらい、コーディング中にセキュリティ問題を特定して修正できるようにします。このようにして、明日のニュースになる前に脆弱性を防ぐことで、コストとリリースまでの時間を削減します。 

しかし、その言葉を鵜呑みにしてはいけません。

"Secure Code Warrior®ポータルは、複数の技術にまたがるセキュリティの脆弱性について学べる素晴らしいプラットフォームです。興味深いし、インタラクティブでもある。"

セキュリティテスター、中小企業小売会社
TVID 5AC-3CA-F68

"Secure Code Warriorのゲーミフィケーションの利用により、新鮮で楽しく魅力的な方法で安全なコーディングの重要性を強調することができました。"

ソフトウェアエンジニア、グローバル500金融サービス会社
TVID B0D-73D-BE3

他にもまだまだあります。セキュアコードトレーニングの新しいアプローチを間近でご覧になりたい方、開発者が真のセキュリティスーパーヒーローになる様子をご覧になりたい方は、ぜひご連絡ください。