安全なコーディングのために、開発チームが夜も眠れないのはなぜか?
.png)
安全でないコードは、企業にとって何百万ドルもの損失となります。では、安全なコーディング手法の採用を妨げるものは何でしょうか?
あらゆるものがソフトウェアに依存している世界では、 コードの安全性を確保することが重要です。ブランドの評判や財務的な存続は、それにかかっています。しかし、安全なコーディングには多くの懸念事項があり、その完全かつ効果的な導入には多くの障壁があります。これまで以上に、新しい働き方が求められています。そこで、2020年に、Secure Code Warrior は、Evans Data Corp.と協力して、開発者とそのマネージャーのセキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する意識についての一次調査*を実施しました(ホワイトペーパーをダウンロードしてください。 ここで).
現在、組織は安全なコードを実践することが難しい状況にあります。開発者も管理者も同様に、脆弱性への対処やコードへの責任を特に懸念しています。
明らかに、より良いトレーニングと、セキュアコードの実践をサポートするプログラムが必要です。このニーズは、開発者とそのマネージャーにセキュアコーディングに関する懸念を尋ねると明らかになります。私たちの調査*によると、この2つのグループは同じ基本的な関心事を共有しています。しかし、それぞれの役割が異なるため、どの懸念が最も緊急性の高いものであるかは異なります。
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者にとって2番目に大きな関心事は、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアコードについて学ぶことが難しいという事実もあり、セキュアコードのトレーニングには新しいアプローチが必要であることを改めて実感しました。
一方、マネージャーは、トップダウンで物事を考えます。
チームのマネージャーやリーダーは、コードに責任を持つことを第一に考えます。もし、チームがお粗末なコードを作ってしまったら、その責任はマネージャーにあります。
2位は「過去の脆弱性を再現するコード」。そして、学習プロセスが困難であることが3番目に挙げられています。現在のセキュアコードトレーニングのアプローチが有効でないため、管理者は新しいアプローチが必要であることを認識しています。
安全なコーディング方法を採用する上での障壁
セキュアコーディングを導入する上での障壁をマネージャーに尋ねたところ、「コミュニケーション」と「トレーニング」という2つの点がはっきりと浮かび上がってきました。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%は、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
セキュア・コード・プラクティスを組織全体でうまく採用するには、プロセスや人事面での障壁があります。
しかし、そのような難解な問題があっても、前進することはできます。新入社員にセキュアコーディングのスキルがないことや、トレーニングやリソースが不十分であることは、対処が容易です。
開発者は、脆弱性を阻止するための最前線にいます。しかし、開発者は、セキュリティ対策の一環として、サポート、ツール、トレーニングを受けているでしょうか?
彼らの懸念に基づいて、短い答えは「いいえ」です。
実は、適切なトレーニングは、講義のように感じるべきではありません。
セキュアコーディングの変革者として、Secure Code Warrior は、開発者が積極的に学習し、セキュアコーディングのスキルを身につけることができるよう、人間主導のアプローチをとっています。実績のあるLearning Platform は、開発チームとセキュリティチームに、それぞれが好むワークフローの中で、文脈に沿った、関連性の高い学習を提供します。これにより、脆弱性を発見するだけでなく、脆弱性の発生を未然に防ぐことができるようになります。
このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの手段です。
もっと詳しく知りたい方、そしてチームの「左から始める」能力や、セキュリティを犠牲にすることなく安全なコードを迅速に出荷する能力への潜在的な影響を確認したい方は、こちらをご覧ください。 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
安全なコーディングのために、開発チームが夜も眠れないのはなぜか?
安全でないコードは、企業にとって何百万ドルもの損失となります。では、安全なコーディング手法の採用を妨げるものは何でしょうか?
あらゆるものがソフトウェアに依存している世界では、 コードの安全性を確保することが重要です。ブランドの評判や財務的な存続は、それにかかっています。しかし、安全なコーディングには多くの懸念事項があり、その完全かつ効果的な導入には多くの障壁があります。これまで以上に、新しい働き方が求められています。そこで、2020年に、Secure Code Warrior は、Evans Data Corp.と協力して、開発者とそのマネージャーのセキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する意識についての一次調査*を実施しました(ホワイトペーパーをダウンロードしてください。 ここで).
現在、組織は安全なコードを実践することが難しい状況にあります。開発者も管理者も同様に、脆弱性への対処やコードへの責任を特に懸念しています。
明らかに、より良いトレーニングと、セキュアコードの実践をサポートするプログラムが必要です。このニーズは、開発者とそのマネージャーにセキュアコーディングに関する懸念を尋ねると明らかになります。私たちの調査*によると、この2つのグループは同じ基本的な関心事を共有しています。しかし、それぞれの役割が異なるため、どの懸念が最も緊急性の高いものであるかは異なります。
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者にとって2番目に大きな関心事は、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアコードについて学ぶことが難しいという事実もあり、セキュアコードのトレーニングには新しいアプローチが必要であることを改めて実感しました。
一方、マネージャーは、トップダウンで物事を考えます。
チームのマネージャーやリーダーは、コードに責任を持つことを第一に考えます。もし、チームがお粗末なコードを作ってしまったら、その責任はマネージャーにあります。
2位は「過去の脆弱性を再現するコード」。そして、学習プロセスが困難であることが3番目に挙げられています。現在のセキュアコードトレーニングのアプローチが有効でないため、管理者は新しいアプローチが必要であることを認識しています。
安全なコーディング方法を採用する上での障壁
セキュアコーディングを導入する上での障壁をマネージャーに尋ねたところ、「コミュニケーション」と「トレーニング」という2つの点がはっきりと浮かび上がってきました。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%は、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
セキュア・コード・プラクティスを組織全体でうまく採用するには、プロセスや人事面での障壁があります。
しかし、そのような難解な問題があっても、前進することはできます。新入社員にセキュアコーディングのスキルがないことや、トレーニングやリソースが不十分であることは、対処が容易です。
開発者は、脆弱性を阻止するための最前線にいます。しかし、開発者は、セキュリティ対策の一環として、サポート、ツール、トレーニングを受けているでしょうか?
彼らの懸念に基づいて、短い答えは「いいえ」です。
実は、適切なトレーニングは、講義のように感じるべきではありません。
セキュアコーディングの変革者として、Secure Code Warrior は、開発者が積極的に学習し、セキュアコーディングのスキルを身につけることができるよう、人間主導のアプローチをとっています。実績のあるLearning Platform は、開発チームとセキュリティチームに、それぞれが好むワークフローの中で、文脈に沿った、関連性の高い学習を提供します。これにより、脆弱性を発見するだけでなく、脆弱性の発生を未然に防ぐことができるようになります。
このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの手段です。
もっと詳しく知りたい方、そしてチームの「左から始める」能力や、セキュリティを犠牲にすることなく安全なコードを迅速に出荷する能力への潜在的な影響を確認したい方は、こちらをご覧ください。 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
