セキュアコードトレーニングがうまくいかない理由(そしてその対策
セキュアコードトレーニングがうまくいかない理由(そしてその対策
つまらない、つまらない、つまらない!」。セキュアコードのトレーニングについて言及されると、開発者からはこのような声が聞かれます。Secure Code Warrior では、もっと良い方法があるはずだと考え、Evans Data Corp.の協力を得て、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者の意識について一次調査を行いました(ホワイトペーパーはこちらからダウンロードできます)。 こちら).
もうすぐ発売されるShifting from reaction to prevention:The changing face of application security」では、開発者に現行のセキュアコードトレーニングの主な問題点を尋ねたところ、その答えが明らかになりました。
開発者を挫折させるトレーニング
調査対象となった開発者の40%は、安全なコーディングが漠然と教えられていると感じていました。また、別の40%の開発者は、トレーニングが理論的すぎたり、業務に関連していなかったり、十分に「実践的」ではないと感じていました。また、30%の開発者は、日常的に使用している言語やフレームワークに関するトレーニングが不足していると回答しています。これは、現在の安全なコードのトレーニングが、文脈的に無関係であり、開発者が日常的に行っていることとは意味のない関係にあるということを物語っているので、深刻です。
多くの開発者にとって、主な課題は、効果的でもなく、セキュリティを最優先に考えるきっかけにもならない、退屈で手のかからない作業中に眠らないことです。
漠然としたトレーニングでは、開発者は実験室と実世界の間の認知的なリンクを作ることができません。
開発者がセキュアコードトレーニングに求める3つのこと。
- 開発者は、より実践的で、日常業務に即したトレーニングを求めているという意見が圧倒的に多い。
- 65%の開発者が、言語固有の脆弱性やOWASP Top 10について、より多くのトレーニングが必要だと回答しています。
- 調査対象となった開発者の75%は、体系的なOJTを希望しています。
開発者を引き上げるトレーニング
OJTでは、開発者はある程度の経験と既存の知識を持っています。そのため、「足場のある」学習が必要となります。これは、開発者がすでに知っていることを土台にして、構造化されたトレーニング、つまり足場を組んだトレーニングです。足場付きの教育は、それまでの経験を活性化し、強化すると同時に、一口サイズの新しいスキルを構築し続けます。そのため、現場での学習に最適な手段と言えます。
定着力のあるスキルを身につける
開発者向けのセキュリティトレーニングでは、開発者は理論に基づいた静的な学習よりも、実際にやってみることで学ぶ方法を好むことがわかっています。その意味で、関連性の高い、文脈に沿った環境で安全なコーディングを学ぶことは重要です。Secure Code Warrior は、安全なコーディングに変革をもたらすものとして、開発者が実社会で直面する課題を模した、関連するプログラミング言語やフレームワークの文脈に沿った実践的な教育を提供しています。学習コンテンツには、5,500以上の課題が含まれており、重要なOWASPトップ10、OWASPモバイルトップ10、OWASP APIセキュリティトップ10、CWE/SANSトップ25を含む147種類以上の異なる脆弱性をカバーするmissions 。
あなたのチームや、安全なコードをより早く提供する能力への潜在的な影響を確認したい場合は デモを予約する今すぐご連絡ください。
セキュアコーディングに関する最新の知見をブログでご紹介しています。
当社の豊富なリソースライブラリは、安全なコーディングアップスキルに対する人間的なアプローチを強化することを目的としています。
開発者主導のセキュリティに関する最新の研究成果を入手する
ホワイトペーパーからウェビナーまで、開発者主導のセキュアコーディングを始めるために役立つリソースが満載のリソースライブラリです。今すぐご覧ください。
セキュアコードトレーニングがうまくいかない理由(そしてその対策
つまらない、つまらない、つまらない!」。セキュアコードのトレーニングについて言及されると、開発者からはこのような声が聞かれます。Secure Code Warrior では、もっと良い方法があるはずだと考え、Evans Data Corp.の協力を得て、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者の意識について一次調査を行いました(ホワイトペーパーはこちらからダウンロードできます)。 こちら).
もうすぐ発売されるShifting from reaction to prevention:The changing face of application security」では、開発者に現行のセキュアコードトレーニングの主な問題点を尋ねたところ、その答えが明らかになりました。
開発者を挫折させるトレーニング
調査対象となった開発者の40%は、安全なコーディングが漠然と教えられていると感じていました。また、別の40%の開発者は、トレーニングが理論的すぎたり、業務に関連していなかったり、十分に「実践的」ではないと感じていました。また、30%の開発者は、日常的に使用している言語やフレームワークに関するトレーニングが不足していると回答しています。これは、現在の安全なコードのトレーニングが、文脈的に無関係であり、開発者が日常的に行っていることとは意味のない関係にあるということを物語っているので、深刻です。
多くの開発者にとって、主な課題は、効果的でもなく、セキュリティを最優先に考えるきっかけにもならない、退屈で手のかからない作業中に眠らないことです。
漠然としたトレーニングでは、開発者は実験室と実世界の間の認知的なリンクを作ることができません。
開発者がセキュアコードトレーニングに求める3つのこと。
- 開発者は、より実践的で、日常業務に即したトレーニングを求めているという意見が圧倒的に多い。
- 65%の開発者が、言語固有の脆弱性やOWASP Top 10について、より多くのトレーニングが必要だと回答しています。
- 調査対象となった開発者の75%は、体系的なOJTを希望しています。
開発者を引き上げるトレーニング
OJTでは、開発者はある程度の経験と既存の知識を持っています。そのため、「足場のある」学習が必要となります。これは、開発者がすでに知っていることを土台にして、構造化されたトレーニング、つまり足場を組んだトレーニングです。足場付きの教育は、それまでの経験を活性化し、強化すると同時に、一口サイズの新しいスキルを構築し続けます。そのため、現場での学習に最適な手段と言えます。
定着力のあるスキルを身につける
開発者向けのセキュリティトレーニングでは、開発者は理論に基づいた静的な学習よりも、実際にやってみることで学ぶ方法を好むことがわかっています。その意味で、関連性の高い、文脈に沿った環境で安全なコーディングを学ぶことは重要です。Secure Code Warrior は、安全なコーディングに変革をもたらすものとして、開発者が実社会で直面する課題を模した、関連するプログラミング言語やフレームワークの文脈に沿った実践的な教育を提供しています。学習コンテンツには、5,500以上の課題が含まれており、重要なOWASPトップ10、OWASPモバイルトップ10、OWASP APIセキュリティトップ10、CWE/SANSトップ25を含む147種類以上の異なる脆弱性をカバーするmissions 。
あなたのチームや、安全なコードをより早く提供する能力への潜在的な影響を確認したい場合は デモを予約する今すぐご連絡ください。