開発チームの優先順位の中で、セキュアコードはどの位置にあるのでしょうか?
サイバーセキュリティ攻撃の増加とその巧妙化により、世界中のあらゆる分野、産業で変化が起きています。誰もが「左遷」しようとし、できるだけ早い段階ですべてのプロセスや手順にセキュリティを導入しようとしています。この状況は、新しいソフトウェアやアプリケーションを作成する際にセキュリティを組み込むDevSecOpsのような、サイバー防御の改善を目的とした全く新しい動きさえ育んでいます。
これらの変化の多くは、開発者コミュニティの足元に着地しています。新しいソフトウェアやアプリケーションを作成し、書き、コーディングするのは彼らなので、より安全なコーディング手法を採用するよう求めるのは、素晴らしいアイデアのように思われます。結局のところ、新しいアプリケーションが最初に作成されたときよりも左にシフトすることはできないのです。
しかし、開発者コミュニティはその責任についてどう感じているのでしょうか。従来は、いかに早くコーディングできるかという点のみで評価されてきた開発者たちは、セキュリティチャンピオンという新しい役割についてどう考えているのでしょうか。また、会社の経営陣は、質の高いトレーニング、充実した報酬、この重要な新しい責任を引き受けたことにふさわしい評価によって、この努力を支援していると感じているのでしょうか。
2年目となる今年は、Evans Data Corp.と共同で、世界の開発者コミュニティを対象に、安全なコーディングの実践に関するスキル、認識、行動、およびソフトウェア開発ライフサイクル(SDLC)における影響と関連性の認識について包括的な調査を実施しました。その結果は、多くの点で非常に驚くべきものでした。
2022年開発者主導型セキュリティの現状調査
Secure Code Warrior 開発者主導型セキュリティの現状調査」は、2021年12月にEvans Data Corp.が実施したものです。アジア太平洋地域、ヨーロッパ、北米で働く現役のソフトウェア開発者1,200名を対象に、ソフトウェアのコーディング、セキュリティ意識、トレーニング、サポート、モチベーションなどに関する質問を行った。調査は英語で行われ、グローバルな視点を正確に把握するために必要に応じて翻訳されました。調査対象者は、新しいアプリケーションを開発している開発者、および開発コミュニティ内の管理職です。
意外な事実が判明
本調査をあらゆる角度から掘り下げた詳細なホワイトペーパー(The challenges (and opportunities) to improve software security)とレポート(The state of developer-driven security, 2022)を4月11日(月)にリリースします。ホワイトペーパーには、セキュアコーディングの実践に関する調査結果やコミュニティから提起された懸念の分析、開発者チームがソフトウェアセキュリティを向上させるための組織のための推奨事項が記載されています。
これらの課題の中には、組織で開発者と一緒に仕事をしている人や、開発コミュニティの中にいる人が疑問を抱くようなものもありますし、私たちもそうでした。
例えば、アプリケーション・セキュリティを今日の最優先事項として挙げた回答者は、わずか14%でした。その代わりに、アプリケーションのパフォーマンスや機能・性能の優先順位付けといった、より伝統的な指標が全体的な焦点として残っています。
セキュリティの優先順位は非常に低く、調査対象となった開発者の67%が、既知の脆弱性や悪用を日常的にコードに残していることを認めました。その理由は、締め切りが厳しかったり、セキュリティよりも機能を優先させたり、あるいは単にセキュリティの問題を修正するのに必要なトレーニングや知識がなかったりするためです。
多くの場合、開発者は、何が安全なコードであるかを組織が定義しておらず、その状況を変えるための十分なトレーニングやサポートが提供されていないと述べています。
しかし、いくつかの否定的な調査結果にもかかわらず、意識が変化していることも明らかでした。開発者の大多数(66%)は、今後12~18ヶ月の間にセキュリティの優先順位が上がると予想しており、調査に参加した採用担当者の82%は、セキュリティを知っている開発者を、そうでない開発者よりも採用したいと表明しています。
この調査結果から、開発者コミュニティと彼らが働く組織が多大な変化に直面していることは明らかですが、ありがたいことに、近い将来と長期的な将来に対する計画も急速に具体化しつつあります。
調査結果の詳細については、ホワイトペーパーとレポートをご覧ください。また、現在のセキュアコーディングの実践に関する課題や、開発者のセキュリティスキル、ひいてはソフトウェアセキュリティを向上させるために組織が取り入れることのできる機会について、専門家のコメントも掲載しています。
をご覧ください。 Secure Code Warriorブログページでは、サイバーセキュリティに関するより深い洞察、ますます危険な脅威の状況、そして組織とお客様をより良く保護するための革新的なテクノロジーとトレーニングの採用方法についてご紹介しています。
Secure Code Warrior
Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供することで、セキュリ ティを重視する開発者文化を構築する。当社の主力製品であるアジャイルLearning Platform は、開発者がセキュアなコードを記述するためのスキルを短期間で習得し、構築し、適用できるように、適切なスキルに基づくパスウェイ、実践的なmissions 、状況に応じたツールを提供します。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
開発チームの優先順位の中で、セキュアコードはどの位置にあるのでしょうか?
サイバーセキュリティ攻撃の増加とその巧妙化により、世界中のあらゆる分野、産業で変化が起きています。誰もが「左遷」しようとし、できるだけ早い段階ですべてのプロセスや手順にセキュリティを導入しようとしています。この状況は、新しいソフトウェアやアプリケーションを作成する際にセキュリティを組み込むDevSecOpsのような、サイバー防御の改善を目的とした全く新しい動きさえ育んでいます。
これらの変化の多くは、開発者コミュニティの足元に着地しています。新しいソフトウェアやアプリケーションを作成し、書き、コーディングするのは彼らなので、より安全なコーディング手法を採用するよう求めるのは、素晴らしいアイデアのように思われます。結局のところ、新しいアプリケーションが最初に作成されたときよりも左にシフトすることはできないのです。
しかし、開発者コミュニティはその責任についてどう感じているのでしょうか。従来は、いかに早くコーディングできるかという点のみで評価されてきた開発者たちは、セキュリティチャンピオンという新しい役割についてどう考えているのでしょうか。また、会社の経営陣は、質の高いトレーニング、充実した報酬、この重要な新しい責任を引き受けたことにふさわしい評価によって、この努力を支援していると感じているのでしょうか。
2年目となる今年は、Evans Data Corp.と共同で、世界の開発者コミュニティを対象に、安全なコーディングの実践に関するスキル、認識、行動、およびソフトウェア開発ライフサイクル(SDLC)における影響と関連性の認識について包括的な調査を実施しました。その結果は、多くの点で非常に驚くべきものでした。
2022年開発者主導型セキュリティの現状調査
Secure Code Warrior 開発者主導型セキュリティの現状調査」は、2021年12月にEvans Data Corp.が実施したものです。アジア太平洋地域、ヨーロッパ、北米で働く現役のソフトウェア開発者1,200名を対象に、ソフトウェアのコーディング、セキュリティ意識、トレーニング、サポート、モチベーションなどに関する質問を行った。調査は英語で行われ、グローバルな視点を正確に把握するために必要に応じて翻訳されました。調査対象者は、新しいアプリケーションを開発している開発者、および開発コミュニティ内の管理職です。
意外な事実が判明
本調査をあらゆる角度から掘り下げた詳細なホワイトペーパー(The challenges (and opportunities) to improve software security)とレポート(The state of developer-driven security, 2022)を4月11日(月)にリリースします。ホワイトペーパーには、セキュアコーディングの実践に関する調査結果やコミュニティから提起された懸念の分析、開発者チームがソフトウェアセキュリティを向上させるための組織のための推奨事項が記載されています。
これらの課題の中には、組織で開発者と一緒に仕事をしている人や、開発コミュニティの中にいる人が疑問を抱くようなものもありますし、私たちもそうでした。
例えば、アプリケーション・セキュリティを今日の最優先事項として挙げた回答者は、わずか14%でした。その代わりに、アプリケーションのパフォーマンスや機能・性能の優先順位付けといった、より伝統的な指標が全体的な焦点として残っています。
セキュリティの優先順位は非常に低く、調査対象となった開発者の67%が、既知の脆弱性や悪用を日常的にコードに残していることを認めました。その理由は、締め切りが厳しかったり、セキュリティよりも機能を優先させたり、あるいは単にセキュリティの問題を修正するのに必要なトレーニングや知識がなかったりするためです。
多くの場合、開発者は、何が安全なコードであるかを組織が定義しておらず、その状況を変えるための十分なトレーニングやサポートが提供されていないと述べています。
しかし、いくつかの否定的な調査結果にもかかわらず、意識が変化していることも明らかでした。開発者の大多数(66%)は、今後12~18ヶ月の間にセキュリティの優先順位が上がると予想しており、調査に参加した採用担当者の82%は、セキュリティを知っている開発者を、そうでない開発者よりも採用したいと表明しています。
この調査結果から、開発者コミュニティと彼らが働く組織が多大な変化に直面していることは明らかですが、ありがたいことに、近い将来と長期的な将来に対する計画も急速に具体化しつつあります。
調査結果の詳細については、ホワイトペーパーとレポートをご覧ください。また、現在のセキュアコーディングの実践に関する課題や、開発者のセキュリティスキル、ひいてはソフトウェアセキュリティを向上させるために組織が取り入れることのできる機会について、専門家のコメントも掲載しています。
をご覧ください。 Secure Code Warriorブログページでは、サイバーセキュリティに関するより深い洞察、ますます危険な脅威の状況、そして組織とお客様をより良く保護するための革新的なテクノロジーとトレーニングの採用方法についてご紹介しています。
