開発者を強化し、生産性を向上させ、リスクを軽減する

進化し続けるサイバーセキュリティの世界において、今年はなんと素晴らしい年だったことでしょう！Secure Code Warrior 、進化し続けるセキュリティの脅威に対抗するために必要なスキルを開発者や組織に身につけさせるという使命を果たし続けていることを誇りに思います。2023年、私たちは600社以上の企業と協力し、約75,000人の開発者のデータを分析した結果、Secure Code Warrior を利用した開発者は脆弱性を53%も削減したことがわかりました。これは、開発者の生産性を大幅に向上させるだけでなく、AppSecとセキュリティチームがリスクヘッジを行い、組織のセキュリティ体制を強化することにもつながります。

2024年に向けて、私たちが今年行った主な製品の進歩、戦略的パートナーシップ、会社の更新についてご説明することは、皆様のお役に立つと思います。 

‍

製品イノベーション

私たちの開発者コミュニティでは、セキュアなコード学習にとって飛躍の年となりました。そのハイライトをいくつか紹介しよう：

• プラットフォームに2つの新しい言語（Terraform:GCPとDart:Flutter）を追加し、9つの異なる言語とフレームワークでCoding Labsを出荷しました。 
• Secure Code Warrior 2023年には820Tournaments 。
• 平均して、開発者はコーディング・ラボに2.3分費やし、2023年には100,000以上のラボを完了しました。これは、Secure Code Warriorの最新の学習アクティビティに費やされた4,200時間以上に相当する！ 
• 最後に、プラットフォーム上でアクティブに活動している学習者の数に基づいて、当社の開発者の出身業界トップ10を見てみましょう。 

2023 年、Secure Code Warrior は、開発者のセキュリティ教育を向上させるために設計された、最も高度でインタラクティブな学習アクティビティである Coding Labs を導入 しました。Coding Labsは、リアルタイムで状況に応じたフィードバックを提供し、現在9つ以上の言語とフレームワークで利用可能です。Coding Labsはパーソナルトレーナーの役割を果たし、より迅速な学習とスキルアップを促進し、開発者が「学習」から「実行」するまでの時間を短縮します。 

Secure Code Warrior Dart:FlutterとTeraformGCPの2つの新しいプログラミング言語が追加され、業界をリードするコンテンツのライブラリがさらに充実しました。さらに、ガイドラインを courses 、SCW Jiraと統合することで、開発者のワークフローに深い洞察と詳細な改善アドバイスを提供するなどの機能強化が図られている。Multi-companyTournamentsの導入は、様々な会社や子会社の開発者間の切磋琢磨を促進し、スケーラブルでセキュアなコーディング文化を保証します。さらに、SCIMの導入により、プログラムオーナーや企業の管理者は、Secure Code Warrior のライセンスをプログラムで管理できるようになり、規模に応じた正確性とコンプライアンスが保証される。

最新の製品イノベーションについてもっと知りたいですか？担当のカスタマー・サクセス・マネージャーにお問い合わせいただくか、リソース・ライブラリーをご覧ください。 

‍

‍

戦略的パートナーシップと統合

Secure Code Warrior を活用したシノプシス開発者セキュリティ・トレーニングとの注目すべきコラボレーションが実現した。この統合は、開発者のデスクトップでセキュリティ・リスクを先取りするクローズド・ループ戦略を提供し、ソフトウェア開発ライフサイクル（SDLC）やCI/CDパイプライン全体で問題の改善を加速する。このパートナーシップは、定量化可能なリスク削減を伴う、安全な開発への包括的なアプローチを確立することを目的としています。

パートナーシップの詳細はこちら。 

‍

デブリンピックス2023

tournament Secure Code Warrior 、毎年世界各地で開催されている「Devlympics」は、2023年には1000人を超える開発者が参加した。このイベントは世界中のセキュリティ専門家から注目を集め、圧倒的な好意的なフィードバックが寄せられた：

• 94％がtournament への参加を楽しんだ。
• 90％が来年のイベントへの参加に興味を示した。
• 62%がSCWプラットフォームを10/10と評価し、91%が同僚に勧めたいと回答した。
• 85％以上が、所属する組織がフルタイムでアクセスできるのであれば、SCWのプラットフォームを利用すると回答している。

レポート全文はこちら来年のデブリンピックを見逃したくないですか？2024年10月15日～16日のカレンダーに印をつけ、関心をお持ちの方はご登録 ください。 

‍

同業者の意見を聞く

Secure Code Warrior はお客様のセキュリティ・エコシステムに深く組み込まれ、開発者の生産性とリスクの低減に大きな影響を与えています。私たちは今年、何社かのお客様からお話を伺い、より広範なアプリケーション・セキュリティ・コミュニティの同僚と共有するために、お客様の主題専門家から重要な学習と洞察を収集しました。  

• ワークデイ約18カ月間で4662件あったセキュリティ問題をゼロに。
• タレスソースコードレベルでの再導入はなく、2年間で全体的な脆弱性の削減を達成。
• エンベストネット開発者は、同業者よりも 2.7 倍多く脆弱性を修正し、開発者 1 人当たり 4.5 件の割合で問題を解決した。
• ネットスコープ従来の「チェック・ザ・ボックス」トレーニングなしでコンプライアンス目標を達成し、セキュアコーディングプログラムへの参加率を向上。
• コルゲート・パルモリーブ社 開発者をセキュアなコード戦略の中核に据え、Okta を使用してSecure Code Warrior をワークフローにシームレスに組み込みました。
• セイジ クラス最高のセキュリティチャンピオンコミュニティを構築し、脆弱性の平均修正時間を 82% 短縮。

セキュア・コード・プログラムをどのように構築し、セキュリティ第一の企業文化を醸成し、セキュリティ態勢をどのように改善してきたかについて、当社の顧客から直接話を聞くことができます。 

‍

サイバーセキュリティの脆弱性に対するSCWの迅速な対応

Secure Code Warriorの Rapid Response プログラムは、MOVEit ゼロデイエクスプロイト、重大性の高い libcurl/curl 脆弱性、mvcRequestMatcher Spring など、私たちの世界を悩ませている現在の重大な脆弱性に対処しています。これらのインシデントは、プロアクティブなセキュリティ対策と、最近の脆弱性に関するエンジニアリングチームへの継続的な教育の重要性を強調しています。これらの重要な脆弱性についての詳細は以下をご覧ください。それぞれ、ハンズオンでプレイできる無料のミッションが付いています。

• MOVEit ゼロデイ無料ミッション
• libcurl/カールの脆弱性に関するミッション 
• mvcRequestMatcher スプリングミッション 

‍

主な資金援助と表彰

オーストラリアのシドニーとメルボルン、アメリカのボストン、ベルギー、そしてアイスランドにオフィスを構えるSCWは、さまざまな業界や地域を代表する開発者のコミュニティを擁していることを誇りとしています。 

2023年7月13日、Secure Code Warrior 、パラディン・キャピタル・グループが主導するシリーズC資金調達ラウンドの終了という画期的な成果を発表した。これにより資金調達総額は1億ドルを超え、創業以来の信頼と支援が裏付けられたことになる。

‍

成長するコミュニティに参加しよう 

Secure Code Warriorイノベーション、戦略的パートナーシップ、顧客の成功へのコミットメントにより、セキュアコーディング教育と実装のリーダーとしての成功を誇りに思います。 

もっと知りたいですか？ Xと LinkedInで 私たちをフォローし、すべてのアナウンスの最新情報を入手してください。 

2024年にお会いしましょう！

Secure Code Warrior 、アジャイル学習はどのように脆弱性を減らすのか？

セキュリティ教育は進化する必要がある 

今日のセキュリティチームが直面している課題の一つは、開発サイクルの早い段階でセキュアコーディングを統合する時間が十分にないことである。セキュリティリーダーはまた、開発者がセキュアコードの学習体験から得ている価値を再考し、プログラムをより魅力的なものにし、最も重要なこととして、よりインパクトのあるものにする方法を考える必要がある。セキュリティ教育プログラムが生産性の妨げになることは、最も避けたいことである。その代わりに、開発者向けセキュリティ教育へのアプローチの目標は、魅力的な経路、ワークフローとの統合、概念の定着に役立つ幅広いコンテンツによって構築されるべきであり、その結果、導入される脆弱性が減少する。 

セキュアコードラーニングを開発者のワークフローに統合し、開発者の時間的負担を軽減することで、開発者はよりセキュアなコーディングができるようになり、生産性が大幅に向上します。Secure Code Warrior 、当社のプラットフォームを使用している75,000人以上の開発者のデータを調査した結果、アジャイルラーニングを使用することで、開発者がコードベースに導入する脆弱性が53%減少することがわかりました。 

そのためには、開発者がより実践的な学習や、ツールや環境との統合を通じて、より深いエンゲージメントと大きなインパクトを持つマイクロ・ラーニングの瞬間を促進することで、このテーマに熱中できるようなアプローチの転換が必要だ。 

アプリケーション・セキュリティのリーダーであるデレク・フィッシャーによると、「私たちは皆、どの組織でも毎年受けるコンプライアンス研修によく慣れている。研修はたいてい、私が『パワーポイントによる死』と呼んでいるようなもので、たくさんのスライドを使い、最後にassessment ......実に非効率的で時間のかかるものでした。トレーニングはありましたが、それは通常のコンプライアンスに基づいたもので、セキュリティに特化したトレーニングはスライドやオーディオレコーディングに基づいたものでした。私たちは、開発者がその教材にあまり興味を示さず、学んでいないことに気づいたので、戦略を転換する必要がありました。"

学習体験を開発者のワークフローに統合する

Secure Code Warriorのプラットフォームは、開発者の日々のワークフローにジャスト・イン・タイムのマイクロバースト・コンテンツを提供します。このセキュリティ・ツールとの統合は、コンテキストの切り替えをなくし、AppSecチームがより処方的で魅力的なプログラムを構築できるように設計されています。 

これらのdevtoolとセキュリティの統合により、開発者の進捗を追跡し、チケットへの応答時間を測定したり、IAST/ DAST/SASTツールによって時間の経過とともに脆弱性の減少を観察したりすることで、安全なコード学習プログラムがどのように機能しているかを測定することができる。 

Secure Code Warrior 、お客様のツールやワークフローと統合し、脆弱性を最大53%削減するための3つの主な方法をご紹介します。 

1. アプローチを合理化する 

Secure Code Warrior をスキャンツールやペンテストツールと統合します。Secure Code Warrior 、Synopsys、Snyk、Bugcrowd、Fortify、Contrast、その他多くのツールと統合し、プログラムの焦点を絞ることができます。 

2. 生産性の向上

Jira、Gitlab、GitHub、Azure Boards に組み込まれたハンズオンチャレンジ、コーディングラボ、ガイドラインを通じて、開発チームが実践的に学習できるようにします。開発者の生産性を妨げたり、開発フローを中断することなく、数時間ではなく数分で学習が完了します。 

2. プログラムの規模を拡大する 

企業向けに構築されたSCORMとSCIM機能により、セキュリティプログラムの管理負担を軽減します。Secure Code Warrior をLMSと簡単に統合し、ユーザープロビジョニングを自動的に管理します。Oktaとの統合でSSOを有効にします。 

SDLC の早い段階で脆弱性を 53% 削減する。 

脆弱性を修正するためのコストが大幅に少なくなる最初から、より安全なコードを書くことにフォーカスを移すことによって、SDLC のかなり早い段階で脆弱性を修正することが可能です。多くの脆弱性の原因、すなわち、開発者によって本番環境に出荷される安全でないコードに目を向けることによって、導入された脆弱性を減らすことは、技術的負債を軽減し、セキュリティを強化する助けになります。 

開発者教育を通じて脆弱性を有意に減らすことは、開発者のフローを中断させる退屈で静的なトレーニングでは実現しません。市場で最も柔軟なアジャイルlearning platform からの学習をツールに組み込むことで、セキュリティと開発ツールへの既存の投資がより価値あるものになり、脆弱性の 53% の大幅な削減につながる可能性があります。 

より多くのヒントを学ぶSecure Code Warrior 

次回のブログポストでは、セキュアコーディングプログラムを成功させるために何が重要な影響であるかに焦点を当てることができるように、すべてをリスク低減に結びつけ、非常に魅力的なプログラムを構築する方法を探ります。

Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってセキュアなコードを作成し、サイバーセキュリティを最優先する企業文化を構築するお手伝いをします。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを軽減できるよう支援します。

実践的なセキュリティ教育で脆弱性を53％削減する方法を学ぶ 

今日の開発チームが直面する課題 

開発者たちは、これまで以上に迅速なビルドと生産サイクルの加速という大きなプレッシャーにさらされている。このため、オープンソースやA.I.、その他のサードパーティからもたらされるコードも含め、組織内に導入されるコードの量が増えている。これらは生産性を加速するのに役立つかもしれないが、コードベースに安全でないコードを導入するリスクも高める。

より速く開発しなければならないというプレッシャーが高まっているにもかかわらず、ソフトウェア開発チームは、リリース前にコードの約26％を作り直している。これは、開発者が技術的負債だけに週13.5時間を費やす可能性があることを意味する。これは年間700時間以上を過去のミスの修正に費やしていることになる。生産性が失われた時間は、開発サイクルを遅らせ、さらに悪いことに、ショートカットやサードパーティのソースを通じてコードに新たなリスクをもたらす可能性がある。このため、コードを迅速にリリースしつつも、安全性も確保しなければならないというプレッシャーとのバランスを取ることが課題となる。 

Secure Code Warriorの調査によると、開発者の67％が脆弱性のあるコードを出荷していることを認めており、毎日新しいコードが書かれるたびに、より多くの脆弱性が導入されている。この問題に対処するには、最初からセキュリティを組み込むという、より良い方法があります。このブログでは、アジャイル学習によって、開発者がコードの安全性を確保し、コード内の脆弱性を最大53％削減するための最初の防衛線となる方法を探ります。 

脆弱性の侵入を阻止する 

Secure Code Warrior は、600 を超えるさまざまな企業と協力し、コードの安全性確保を支援しています。当社の研究者は、当社のユーザーベースの30％（約75,000人の開発者）のデータを調査し、Secure Code Warrior 、セキュアなコーディングプラクティスを学習し、適用している開発者は、同業他社に比べて、組織内で発生する脆弱性が53％少ないと指摘しています。開発者が新たな脆弱性を作り出さなくなれば、何時間でも何時間でも生産性が向上します。この時間は、技術的負債のバックログを削減したり、新しい革新的なソリューションや機能の出荷に費やすことができます。脆弱性の導入が過去のものになれば、可能性は無限に広がり、ソフトウェア開発ライフサイクルに多くの効率改善をもたらすことができる。 

開発者はアジャイル学習からどのような恩恵を受けることができるのか？  

Secure Code Warrior は、learning platform の設計にアジャイル原則を統合し、開発者が実践しながらセキュアコーディングを学ぶことを奨励しています。これは、以前は長く退屈なセキュリティトレーニングであったものを、対話的で魅力的な学習の小さなマイクロバーストに分割することで実現しています。 

Secure Code Warrior は、複数のマイクロバースト学習形式を組み合わせた唯一のアジャイルlearning platform 。開発者は、選択した言語で、すでに行っている実際の作業のコンテキストで、知識を素早く学び、テストし、適用することができます。

カスタマイズ可能なプログラム、非常にインパクトのある実践的な学習活動、および開発者向けツールとの統合により、Secure Code Warrior は、SDLC の開始時に脆弱性を特定して修正し、脆弱性が最初に導入されるのを阻止することを開発者に教える最も効果的な方法です。

なぜSecure Code Warrior

Secure Code Warriorは、セキュアなコードを書くためのスキルを開発者に提供します。当社のlearning platform は、開発者がソフトウェアセキュリティの原則を学び、適用し、保持するためのアジャイル学習メソッドを使用しているため、最も効果的なセキュアコーディングソリューションです。アジャイル手法でコードを学習するためのアジャイル・セキュリティ・トレーニング・プログラムの導入、セキュアなソフトウェアの迅速な提供、開発者主導のセキュリティ文化の創造において、600社以上の企業がSecure Code Warrior を信頼しています。もっと知りたいですか？デモをリクエストする

ほんの少し前、セキュリティ・コミュニティと開発コミュニティは、curlプロジェクトのリード開発者であるダニエル・ステンバーグ（Daniel Stenberg）氏からの勧告で注意を喚起された。彼は、10月11日に配布されたcurlの新バージョンが、2つの重大なセキュリティ脆弱性に対処するためにリリースされたという不幸な知らせを伝えた。

Stenberg氏のブログの事後報告によると、影響を受けるバージョンのcurlライブラリには、ヒープベースのバッファオーバーフローの脆弱性があり、2002年以来使用されているSOCKS5プロキシ・プロトコルのレガシー問題に関連しているという。

コマンドラインツールとしての使用は1998年まで遡り、curlはインターネットの基礎となる柱として広く見なされている。このような歴史があり、広く使用されているcurlは、脆弱性が発見された場合、一般的なサイバーセーフティに継続的な影響を及ぼす可能性がある依存関係である。

この事件は、Log4jの壊滅的なLog4Shell攻撃と共通点がある。Log4jもまた脆弱な依存関係であり、2年近く経った今でも悪用されている。
‍
>>curl Missionで、今すぐあなたの知識をテストしよう！‍

脆弱性バッファオーバーフロー

この悪用はCVE-2023-38545で詳述されており、バージョン7.69.0から8.3.0までのcurlに影響を与える。主なバグはヒープベースのバッファ・オーバーフロー脆弱性で、悪用に成功すると、より壊滅的なリモート・コード実行（RCE）攻撃につながる可能性があるとの初期報告がある。これは脅威行為者にとって可能性のあるワークフローではあるが、想定されるケースというよりは稀なユースケースである。

おそらく、リスクを軽減する1つの救いは、悪意のある通信がSOCKS5プロキシを経由しなければならないことであり、これは比較的まれな展開である。

curlエクスプロイトと同様に、このバッファ・オーバーフローの説明を見てみよう：

curlがSOCKS5プロキシを使用するように指示されると、ホスト名を渡してプロキシに解決させます。しかし、ホスト名が255バイトの制限を超えると、curlはホスト名をローカルで解決します（以下のコード・スニペット：ソース）。

クライアントとプロキシ間のハンドシェイクが遅い場合、(短い)解決された アドレスの代わりに長いホスト名がメモリバッファにコピーされる可能性がある。割り当てられたメモリ部分は255バイトの値しか許さないので、この制限を超える値を受け取ると、データはメモリバッファの境界をオーバーフローしてしまう。

>>> このミッションで試してみてください。 プレイアブル・ミッション!

バッファ・オーバーフローは強力な攻撃ベクトルであり、多くのレガシー・プログラミング言語で蔓延している可能性がある。この特殊なケースでは、悪用された結果、文脈によってはRCEという形で、より深刻で有害な攻撃への道が開かれた。

バッファオーバーフローのリスクを軽減するには？

この段階で、最優先の対策は、すべての脆弱なインスタンスにパッチを適用することです。curlの使用は非常に広範囲に及んでいるため、システムのコンポーネントが使用中の依存関係を含んでいることが必ずしも明らかでない、または宣伝されていない可能性があることに注意してください。その場合は、監査とその後のパッチ適用が必要です。 

一般的に、バッファオーバーフローの欠陥は、Rustのようなメモリセーフ言語を使用することで軽減することができるが、curlのような広大なプロジェクトのように、他の言語に移植したり、気まぐれに書き換えたりすることは現実的ではない。メモリー・セーフ言語で書かれた依存関係をより多く使用しサポートする可能性について、あるいはcurlの一部を少しずつ置き換えていくという選択肢について、Stenbergが述べているように、「......開発は......現在、氷河期に近いスピードで行われており、その課題が痛いほど明確に示されている。これは小さな仕事ではないし、セキュリティへの影響も計り知れない。

セキュリティ上のミスは起こりうるものであり、またこれからも起こりうるものである。したがって、これらのバグとの戦いにおける最大の武器は、継続的なセキュリティ意識とスキル向上に取り組むことである。
‍

安全なコードを書き、リスクを軽減する方法についてもっと知りたいですか？

私たちの ヒープオーバーフローに無料で挑戦.

無料のコーディング・ガイドラインにご興味のある方は、以下をご覧ください。 セキュアコードコーチをご覧ください。

Secure Code Warrior 私たちは、常に変化し続ける今日のセキュリティ課題に取り組むための適切なスキルを開発者や組織に提供できるよう、常に革新を続けています。私たちは、セキュアコーディングのためのアジャイルなlearning platform 、開発者が望む方法で学習できるようにし、今日の業界で最も完全で信頼性の高い脆弱性コンテンツを提供します。  

この四半期、Secure Code Warrior は、SCIM プロビジョニングによるユーザー管理をよりシンプルにするだけでなく、企業の管理者がtournaments を複数のブランドや事業体に拡大するための新しい方法を実装しました。また、新しいコーディング・ガイドラインがJiraで利用できるようになったこと、パフォーマンスの概要レポートや新しいプログラム・ワークフローがプレビューで利用できるようになったことを発表できることを嬉しく思います。 

もっと詳しく知りたい方は、こちらからどうぞ

SCWプラットフォームの幅と奥行きの拡大 

Secure Code Warrior新しいコンテンツへの継続的な拡大により、当社のモジュールは常に適切かつタイムリーで、今日のサイバーセキュリティの状況で知っておくべきことに合わせて調整されています。業界をリードする60以上の言語の広さと深さにより、多数の言語とフレームワークを使用する開発者のためのアジャイル学習プログラムを簡単に構築し、拡張することができます。 

利用可能になりました：Jiraのコーディングガイドライン 

Jira 統合にガイドラインを追加することで、開発者はセキュリティ緩和をカバーする文脈的な学習を行うことができます。ガイドラインは、ビデオよりも詳細で、特定の言語やフレームワークに焦点を当て、開発者が問題をより迅速に解決するためのコードスニペットを提供します。ビデオや課題へのアクセスに加え、開発者は Jira 課題でコーディングガイドラインを直接読み、詳細な改善アドバイスにアクセスできるようになりました。

利用可能になりました：新しいフロントエンド開発者向けコンテンツ 

フロントエンド開発者も、セキュアなコードの有効化を必要としています！そのため、Missions と Walkthroughs にフロントエンドの脆弱性を追加リリースしました。フロントエンド開発者は、Courses を通して、フロントエンド特有のMissions にもアクセスできるようになります。 

これらのアップデートは、DOM ベースの XSS のような一般的な脆弱性から、CSS インジェクションのような遭遇頻度の低い脆弱性まで、フロントエンド特有の脆弱性を包括的にカバーするよう努めています。 ステップバイステップのウォークスルーは、フロントエンド開発者に、脆弱性がどのように悪用されているかについての信頼できるガイダンスを提供し、より高度な開発者はTournaments でフロントエンドMissions のスキルをテストすることもできます。 

セキュリティ文化を拡大するエキサイティングな新しい方法 

発売開始マルチカンパニーTournaments 

‍

複数の事業体、子会社、パートナー、および他の会社の開発者間で切磋琢磨できるように、マルチカンパニーTournaments を作成できます。これにより、セキュアなコーディング文化が、組織全体とその複数のブランドにわたって拡張できることが保証される。  

究極のマルチカンパニーTournament に参加しませんか？第3回Devlympicsに登録- SCWがサイバーセキュリティ啓発月間にグローバルで開催するtournament ！すでにご登録済みのお客様は、プラットフォームからご登録いただけます。 

管理者と開発者の体験をシンプルにする

利用可能になりました：コースのフィルタリング 

コース管理ページで追加フィルタを適用する機能により、管理者は作業したいコースを絞り込むことがより簡単になります。Courses 、ステータス、終了日、登録チームなど、いくつかの属性でフィルタリングすることができます。

利用可能になりました：SCIMでSCWライセンスを管理 

これにより、プログラム・オーナーや企業の管理者は、開発者をプログラムによって大規模に管理し、アクセス制御が常に最新であるという確実性を享受することができる。

SCIM プロビジョニングは、ID プロバイダを使用して、Secure Code Warrior へのアクセスを同期します。これらのタスクを自動化することで、正確性、セキュリティ、およびコンプライアンスを確保し、ユーザをプロビジョニングする際の時間とリソースの両方を節約します。現在、SCW は SCIM プロビジョニングをユーザー・レベルでのみサポートしており、SCIM グループについてはまだサポートしていません。

プレビューでご覧いただけます：プログラム・ワークフロー

 スケーラブルで魅力的なセキュアコード教育プログラムの構成は、プラットフォームの主要なユーザビリティの改善により、これまで以上に簡単になりました。プログラムは、courses と複数レベルのプログラムへの評価のシーケンスを通じて、学習者により多くのガイダンスを提供するために作成されました。自動化されたプログラムワークフローは、プラットフォームでプレビューを有効にしたお客様にご利用いただけるようになりました。プログラム・ワークフローは、開発者がどこから始めればよいかを確実に把握し、次に何が必要かをナビゲートし、安全なコード学習プログラムのさまざまなレベルを簡単に移動できるようにします。また、企業の管理者は、プログラムの設定、管理、開発者に次の学習アクティビティを完了するよう促すことに費やす時間を短縮することができます。 

あなたの組織でセキュアなコード学習を開始する方法について、ヒントが必要ですか？セキュリティ目標を達成するためのプログラムの構成方法について、当社のハンドブックをお読みください。 

レポーティングとプログラムインサイト

プレビューでご覧いただけます：パフォーマンス概要 

会社の管理者として、組織全体の活動を監視する必要性は、開発者の参加を理解し、安全なコード学習プログラムの成功を測定するために非常に重要です。私たちは、会社の管理者がレポートから最も実用的な洞察を得られるように、強化されたレポートインターフェイスを構築しました。

パフォーマンス概要では、開発者のコースおよびassessment の完了状況、および長期的な平均精度を把握することができます。また、このレポートでは、業界ベンチマークが作成され、選択したassessment の業界平均assessment スコアとの比較も確認できます。 

このシンプルかつ強力なレポートは、2024年に向けて計画されているSecure Code Warriorの一連の洞察と指標の始まりを告げるものである。 

Secure Code Warrior を試してみたいが、まだアカウントをお持ちでないですか？今すぐデモをご予約ください。 

今期の新機能については以上です！LinkedInとX（旧Twitter）で Secure Code Warrior をフォローして、最新リリースと改良点に関する最新情報を入手してください。

‍

‍

ソフトウェア・サプライチェーンのサイバー攻撃はますます一般的になりつつあり、米国政府レベルでは法改正が相次ぐ一方、企業は拡大するリスクプロファイルを軽減し、ソフトウェア品質を迅速に向上させようと躍起になっている。ファイル共有サービスに関連するゼロデイ脆弱性は、今年だけでも3件発生しており、中でも最大かつ最も破壊的なものは、MOVEitの大量エクスプロイトである。

CL0Pランサムウェア・グループによって先導されたMOVEit事件は、しばらくの間サイバーセキュリティ・ニュースを席巻し、1,000以上の組織が影響を受けた。この数は増え続けており、2021年のSolarwinds以来、最も強力なソフトウェア・サプライチェーン攻撃の1つとなっている。

この広範な侵害のきっかけとなったのは、SQLインジェクションの脆弱性群で、最終的にMITREの深刻度スコアは10点満点中9.8点となった。SQLインジェクションは、90年代後半からセキュリティ専門家の悩みの種であり、かなり簡単な修正にもかかわらず、最新のソフトウェアに入り込み、脅威行為者に機密データへのレッドカーペットを提供し続けている。 

MOVEitのシナリオは、多くの開発者やAppSecの専門家が以前に経験したものとは少し異なっており、ライブシミュレーションでSQLi退治のスキルを試すことができます。

脆弱性SQLインジェクション

SQLインジェクションは、Progress SoftwareのMOVEitファイル転送アプリケーションを悪用するために、具体的にどのように使われたのか？

CL0Pランサムウェアグループは、SQLインジェクションの脆弱性CVE-2023-34362を悪用し、MOVEitのデータベースに無制限かつ不正にアクセスすることができました。そこから、彼らはLEMURLOOTをインストールすることができました。LEMURLOOTは、最終的に、システム設定の検索、SQLデータベースの列挙、MOVEit Transferシステムからのファイル検索、完全な管理権限を持つ新しいアカウントの作成など、いくつかの高リスクで重要なプロセスを実行できるようにするWebシェルです。

言うまでもないが、この攻撃ベクトルは比較的単純なエラーの結果であり、お粗末なコーディング・パターンを使い続けた結果とも言えるが、企業レベルで継続的な問題を引き起こす可能性は計り知れない。 

MOVEitエクスプロイトと同様に、悪意のあるSQLを注入して実行する方法をシミュレートしたSQLiの説明を見てみよう：
‍。

このクエリー文字列と変数:
↪CF_200D↩。

string emailAddress ="contact@scw.com"；

var query = $"SELECT u.UserName From Users as u WHERE u.Email = '{emailAddress}'";

は次のようなクエリーになる。
‍

var query = $"SELECT u.UserName From Users as u WHERE u.Email = 'contact@scw.com'";
㊤Cf_200D

... そして、悪意のある細工を施した入力の場合：
‍。

string emailAddress = "contact@scw.com'; DELETE FROM Invoices WHERE Id = 2;--"；

var query = $"SELECT u.UserName From Users as u WHERE u.Email = '{emailAddress}'";
‍

‍ となる。

var query = $"SELECT u.UserName From Users as u WHERE u.Email = 'contact@scw.com'; DELETE FROM Invoices WHERE Id = 2;--'";
‍クエリ

飛行中はどう見える？

文字列の連結により、入力はSQL構文として解釈されることに注意してください。まず、SELECT文が有効なSQL構文であることを確認するためにシングルクォートが追加されます。次に、最初の文を終了するためにセミコロンが追加されます。 

これが配置されると、有効なDELETE文が追加され、ハイフン2つで末尾の文字（シングルクォート）をコメントアウトする。例えば、悪意のあるSQLがユーザのロールやパスワードを更新するものであった場合、UPDATE文も同様に簡単に追加できます。
‍

‍ このプレイアブル・ミッションで実際に試してみてください。

>> PLAY THE MOVEit MISSION
↪Cf_200D

SQLiは比較的簡単ではあるが、依然として強力な攻撃ベクトルであり、あまりにも一般的なものである。MOVEitの場合、この悪用によって有害なバックドアがインストールされ、さらに同じような深刻度の攻撃グループが発生した。

SQLインジェクションのリスクを軽減するには？

MOVEit を業務の一部として利用している企業は、Progress Software が推奨する修復アドバイスに従うことが不可欠です。これには、緊急レベルの優先事項としてセキュリティパッチを適用することが含まれますが、これに限定されません。

SQL インジェクション全般については、包括的なガイドをご覧ください。

安全なコードを書いてリスクを軽減する方法についてもっと知りたいですか？当社のSQLインジェクション・チャレンジを無料でお試しください。

さらに無料のコーディング・ガイドラインにご興味があれば、セキュアコーディングのベストプラクティスを常に把握するのに役立つSecure Code Coachをご覧ください。

シリーズC資金調達の発表から間もないですが、当社の新たなステップを発表できることを嬉しく思います。セキュリティ業界のリーダーであるシノプシスは、その製品群にエキサイティングな新機能を追加しました：シノプシス・デベロッパー・セキュリティ・トレーニング、powered bySecure Code Warrior.プレスリリースの全文はこちらをご覧いただきたい。

業界をリードするアプリケーション・セキュリティ・ソリューションのポートフォリオが拡充されたことは、企業のセキュリティ・プログラムにとって正しい方向への積極的な一歩であり、ベスト・プラクティスのDevSecOps手法、特にセキュリティの責任分担に関する手法を取り入れることができるようになったことを意味する。端的に言えば、この統合は、セキュリティに精通した開発者のグローバルな基盤を拡大するものであり、すべての組織にとって、開発者がセキュアコーディングを行えるようにすることで、コードレベルの脆弱性削減を支援する素晴らしい機会となる。 

米国のCISAは今年、「Security-by-Design and -Default Guidelines」を発表し、サイバーセキュリティの成果に対する最終的な責任はエンドユーザーではなくベンダーにあることを推奨している。多くのソフトウェア・ベンダーにとって、これは社内のセキュリティ慣行を大幅に見直す必要がある。サイバーセキュリティのスキル不足に関連した言い訳は通用しない。私たちは、より安全なソフトウェアの作成に重要な役割を果たすために、セキュリティ意識の高い開発者を必要としており、今すぐにでも必要なのだ。

柔軟でカスタマイズ可能なアジャイル・ラーニング・ソリューションは、多くの開発者がAppSecイニシアチブでこれまで経験してきたネガティブな経験に加え、貧弱なコーディング・パターンに対する強力な解毒剤である。適切な情報を適切なタイミングで提供するためには、開発者を納得させ、ワークフローに適合した学習経路を提供する必要がある。シノプシスのプラットフォームとの統合は、この問題に対する現実的で市場をリードするソリューションであり、開発者とセキュリティの関係を根本的に良い方向に変えることができる。

サイバー犯罪は、2015年の3兆ドルから一貫して増加し、2025年までに世界全体で年間推定10.5兆ドルのコストを企業にもたらすとされている。サイバーセキュリティ・ベンチャーズはまた、サイバー犯罪は「史上最大の経済的富の移転」を意味すると報告している。業界全体として、コードを書く一人ひとりにセキュアなコーディング教育を優先させ、ソフトウェア品質の指標としてセキュリティの新たな基準を設定する必要があります。シノプシスの包括的なツール群には、開発者を対象とした魅力的で関連性の高い実践的なアジャイル学習が含まれているため、開発者主導の予防的セキュリティ・プログラムに有意義な転換を図る絶好の機会が到来した。

SDLC におけるセキュアなコードのためのアジャイル学習が実を結ぶ 

これは、セキュアなコードのためのアジャイルLearning Platform の属性と利点について議論する3部構成のブログシリーズの3回目である。第1部では、アジャイル学習の概念と、Secure Code Warriorのプラットフォームがいくつかのアジャイル原則を例証していることを紹介した。 第2部では、アジャイルlearning platform が従来のコンプライアンス指向のセキュリティトレーニングにどのように取って代わるかを探った。  

アジャイルlearning platform 、学習者がより効果的に新しいスキルを内面化し、使用できるような学習体験を提供します。その学習体験は、実践的で文脈に沿った教育の組み合わせにより、日々の仕事に、仕事の一部として、真に統合されます。 SCWがセキュアコーディングスキルを習得する開発者に適用してきたこの学習アプローチは、SCWを従来の学習方法から切り離し、他とは一線を画しています。このシリーズの3番目と最後のブログでは、組織がセキュアコードのためのアジャイルlearning platform から期待できるROIと、組織のための数字をモデル化する方法について説明します。

ビジネスインパクト

セキュアなコード学習のためにアジャイルアプローチを採用している組織では、脆弱性を迅速に修正する能力と手直しコストの回避という2つのレバーから、2倍から3倍のビジネスインパクトが得られる。 

‍

‍

脆弱性が SDLC の早い段階で対処されればされるほど、脆弱性が引き起こすダメージは少なくなり、脆弱性を修復するためのコストも少なくなります。セキュリティの専門家である Jim Routh 氏は、以前 Aetna 社で最高セキュリティ責任者を務め、MassMutual 社で CISO を務めていました。テストフェーズで対処すれば、コストは半減し、コーディングフェーズで対処すれば、コストは 14 分の 1 になります。  

‍

‍

開発者が脆弱性を迅速に修正したり、脆弱性を完全に回避したりする能力を十分に備えていればいるほど、組織がソフトウェア製品や社内アプリケーションで受け入れなければならないコストやリスクは少なくなる。脆弱性予防とソフトウェア品質への投資を望む組織は、開発者にアジャイル（learning platform ）を提供する。このアジャイルは、柔軟なエクスペリエンスと複数の学習経路を開発者に提供し、特にビジネスに即座に影響を与えるように設計されている。

‍

NISTの調査によると、脆弱性の修正に必要な時間はさまざまですが、下表の見積もりは、大企業の顧客との実際のシナリオで確認されたものです。

‍

‍

チームが新たなセキュアコーディングスキルを身につけた後、SCWの顧客は、開発者が脆弱性を修正するスピードが50%から60%も速くなり、本番コードに含まれる高リスクの脆弱性が50%減少したことを指摘している。各組織の経験はさまざまですが、このような結果は5,000人以上の開発者を抱える大企業で確認されています。開発者の生産性の向上は、最終的な収益にも影響を及ぼしている。

運用コストの削減：脆弱性の迅速な修正

よりセキュアなソフトウェア開発プロセスが財務に与える影響と、アジャイル（learning platform ）への投資が開発者の脆弱性修正の迅速化にどのように役立つかを理解するには、以下のモデルを使用し、青字の変数に独自の数値を代入してください：

 ベースライン：

‍

MTTR（平均修復時間）に対するアジャイル（learning platform ）の想定利益

‍

予防価値：手戻りコストの回避

アジャイルlearning platform 、開発者は最初から安全なコードを書くことができる。 この財務的影響を決定するモデルを以下に示す。

‍

アジャイル学習アプローチが違いを生む

セキュアコードのためのSCWのアジャイルlearning platform は、代替の開発者セキュリティトレーニングアプローチよりも優れています。もちろん、SCWの顧客は、それぞれのコストや脆弱性の評価基準によって異なりますが、優れた結果を得ています。ある大手金融サービス会社Envestnetは、SCWの教育を受けた開発者が、同業他社よりも2.7倍多くの脆弱性を修正したことを発見しました。 さらに、1,200人のSCW教育を受けた開発者のグループは、キューの修復率を120％向上させた。   

あらゆるビジネス・ソリューションへの投資と同様に、お客様固有の状況を評価することが重要です。 私たちのチームは、assessment 、お客様の現状を把握し、カスタマイズしたビジネスケースを作成します。自社への影響を評価したい場合は、このブログで概説したモデルを使用してください。また、英国を拠点とする20億ドル規模の会計およびERPソフトウェア企業であるSage社の最近の顧客向けウェビナーでは、セキュリティ文化を構築するための強固なプログラムの一環として、脆弱性のMTTRが82％削減されたことが紹介されています。

についてSecure Code Warrior

Secure Code Warrior は、セキュアなコードを書くためのスキルを開発者に提供します。当社のlearning platform は、開発者がソフトウェアセキュリティの原則を学習し、適用し、保持するためのアジャイル学習メソッドを使用しているため、最も効果的なセキュアコーディングソリューションです。アジャイル学習型セキュリティプログラムの実装、セキュアなソフトウェアの迅速な提供、開発者主導のセキュリティ文化の創造において、600社以上の企業がSecure Code Warrior を信頼しています。もっと知りたいですか？ デモをリクエストする 

埋め込まれたアジャイル学習が未来だ 

前回のブログでは、アジャイル学習の概念と、Secure Code Warriorのセキュアコードのためのプラットフォームがいくつかのアジャイル原則を例証していることを紹介した。 この 3 部構成のブログシリーズの第 2 部では、セキュアコードのためのアジャイルlearning platform が、多くの組織が慣れ親しんでいる従来のコンプライアンス指向のセキュリティトレーニングにどのように取って代わることができるかを引き続き探ります。

セキュアコードの学習に対する従来のコンプライアンス指向のアプローチは、四半期または年単位で実施される静的でポイント・イン・タイムのトレーニングである。この形式の問題点は、開発者がセキュアコーディングについて学習するインセンティブが生まれないこと、また、開発者が新しいスキルを習得して業務で活用する助けにもならないことです。コンプライアンス・トレーニングに何時間も費やすことを好む人はいません。コンプライアンス・トレーニングに何時間も費やすことで、貴重な仕事から遠ざかり、生産性が失われた時間を取り戻すことになるからです。 

ガートナー社によると、アジャイル・ラーニング・アプローチは、人は必要な瞬間に最もよく学び、トレーニングがマイクロバーストと呼ばれる小さな単位で行われ、日常の業務活動の中に組み込まれていることを認識するものである¹。

Secure Code Warrior は、複数のマイクロバースト学習形式を組み合わせた唯一のアジャイルlearning platform 。開発者は、自分の好きな形式で、すでに行っている実際の作業のコンテキストで、知識をすばやく学習、テスト、適用することができます。セキュアなコードのためのアジャイル学習は、何時間もの生産性を維持するだけでなく、開発者に学習から実行へと簡単に移行できる道を提供します。   

‍

¹ 出典アジャイル・ラーニング・マニフェスト ガートナー社

価値提供と学習から収益までの流れ

アジャイル・ラーニング・システムが効果的なのは、学習機会を価値提供の流れの中に織り込み、そこで開発者が自分の仕事に直接影響を与えることができ、（Gartnerが言うように）学習が収益に結びつくからである。 ポイント・イン・タイムのコンプライアンス・トレーニングでは、開発者は長期にわたって定着せず、スキルも身につかない。アジャイル・ラーニングでは、学習は仕事の一部であり、仕事から離れる時間ではない。

Secure Code WarriorGitLab、GitHub、AzureBoards、Jiraなど、開発者が毎日使っている開発ツールの中で、コンテキストの切り替えをなくし、便利に使えるようにします。これにより、開発者は自分の仕事とつながりを保ちながら、同時に学習することができます。

社会的増幅とコミュニティの複合化

GitHubのようなスペースでは、世界中の何百万人もの開発者が知識を共有し、消費している。アジャイル学習の原則は、人は一人で学ぶよりもグループの中でより多くを学ぶことを認識している。ソーシャルコミュニティは、新しいスキルを強化し、ソーシャルな増幅によって安全なコードを教えることの利点を倍増させる有用な手段である。

Secure Code Warriorのセキュリティ・コンテンツは、簡単にアクセスでき、消費可能である。tournamentsSCW のプラットフォームは、 個々の開発者の自信を高め、学習意欲を高めるモチベーションの乗数として 機能する。 Tournaments 企業におけるセキュアコーディングスキルの認知度を高め、開発者が セキュアコーディングスキルを身につけるための強力なインセンティブを提供します。

トレーニングからアジャイル・ラーニングに切り替える

セキュリティトレーニングからセキュアコードのためのアジャイル学習へとアプローチをシフトすることは、開発者の労働力を有効にし、無駄な開発時間を取り戻し、その時間をより生産性の高いプロジェクトに充てるための強力な方法である。 アジャイルの原則に基づいて構築された学習ソリューションで、あなたの旅を始めましょう。SCW AgileLearning Platformは、開発者が新しいスキルを身につける方法を選択できるため、セキュアコードのための最も効果的な学習ソリューションです。アジャイル学習法を取り入れることで、開発者が新しいスキルを習得し、それを内面化し、仕事に応用する能力が大幅に向上します。600社以上の企業が、アジャイル学習セキュリティプログラムの実装、セキュアなソフトウェアの迅速な提供、開発者主導のセキュリティ文化の創造を、Secure Code Warrior 。 アジャイルなlearning platform 。デモをご請求ください。