Devlympicsとは何ですか?
Devlympicsは、Secure Code Warrior 主催する年次グローバル大会であり、開発者のセキュアコーディングスキルを競う場です。
24時間トーナメントでは、世界中の開発者が自ら選んだプログラミング言語で攻撃的および防御的なプログラミング課題に挑みました。開発者は様々なスキルで同僚と競い合い、ポイントを獲得してランキングの頂点を目指す機会を得ました。
本レポートでは、Devlympics 2023 の結果の概要と、数百人の開発者が挑戦した課題を通じて浮き彫りになった強みと可能性について深く掘り下げます。 さらに、各業界・言語・一般的な共通脆弱性分類(CWE)における傾向を分析し、開発者が安全なコードの習得を次の段階へ進めるための取り組みを明らかにしました。
開発者がDevlympicsとSecureSecure Code Warrior
「Secure Code Warrior 、他の参加者と競い合いながらスキルを向上させるための素晴らしいSecure Code Warrior 。」
「Secure Code Warrior 、インタラクティブなコードレビューに似たアプローチSecure Code Warrior 」
「Secure Code Warrior 、興味深いコンSecure Code Warrior 。」
「ワクワク、ワクワク、そして私はそれが大好きだった!」
開発者はSecureSecure Code Warrior愛用しています
イベント終了後、200名以上の参加者にアンケートを実施したところ、開発者は競争を好むという結果が明らかになりました。
開発者の関与
開発者のDevlympicsへの参加は年々増加しています。2023年の大会には1000人以上の開発者が参加しました。Devlympicsは様々な業界やプログラミング分野のセキュリティ専門家や開発者の注目を集めています。 昨年の2倍に達する参加率から、開発者がセキュアプログラミングを学ぶ意欲が高まっていることがわかります。セキュリティ知識を持つ開発者コミュニティを育成することで、Devlympicsはコードを脆弱性から守る第一の防衛線としての開発者の重要性を引き続き強調しています。
Devlympicsに参加している業界
安全なコードはあらゆる業界にとって重要ですが、特定の分野では企業存続の要となります。銀行・金融サービスやテクノロジーなどの業界は、参加開発者数において上位を占めました。これは、これらの業界が安全なコードに注力し、その重要性を継続的に認識し続けることがいかに重要かを示しています。
産業によって操られる言語
様々な業界では多様なプログラミング言語が使用されています。これらは6つの異なるカテゴリー(Web、モバイル、フロントエンド、APIとクラウド、マッシュアップ)に分類され、30種類以上の言語が利用可能です。以下は、各業界でトレンドとなっている言語の一部です。
やめられない、やめようとも思わない
Devlympicsのプレイヤーは平均してプラットフォーム上で約3時間を過ごし、合計で4,152時間のゲーム体験を楽しんだ。
ランキング上位の開発者たちは、次の段階へと進んだ。プレイ時間が最も長い上位20名のプレイヤーは、トーナメントで平均14時間プレイした。これこそが献身だ!
フルスタック開発者
Devlympicsでは、開発者の41%が少なくとも2つの異なる言語でプレイし、ほぼ4分の1が3つ以上の言語でプレイした。
Stack Overflowによれば、本番コードを2つ以上の言語で提供できる開発者はフルスタック開発者とみなされる。
貴社の研修プログラムは、開発者がコードを書くあらゆる技術について確実にトレーニングを受けていますか?63種類以上の言語とフレームワークを提供するSecure Secure Code Warriorなら、まさに最適です。
技術スタックの動向
公開されているコードにとって、安全なコードは最も重要です。
あらゆる業界で、開発者はWeb言語やAPI言語を駆使していた。
Java、Spring、Docker Basicが、トーナメントで最も頻繁に使用された単一言語として上位を占めた。
セキュリティ専門家共同体
今年のDevlympicsには精鋭中の精鋭が参加しました——そのほとんどSecure Code Warrior——そして結果はそれを如実に物語っています!全業界において、Devlympics参加ベンダーはSecure Code Warrior プラットフォームSecure Code Warrior 提示した業界ベンチマークを大幅に上回る成績を収めました。
Secure Code Warrior、開発者向けの熱心なセキュリティ専門家コミュニティを拡大し続ける中で、これらの数値は年々より有望なものになると確信しています!
最も重要なセキュリティ脆弱性 — Web & API
Devlympicsに参加した開発者は、OWASPトップ10のカテゴリであるインジェクション脆弱性とサードパーティ製脆弱性コンポーネントにおいて高い能力を示しました。これらの脆弱性が時間とともにOWASPトップ10リストから消えることを楽観視しています。
マッセンズヴァイジングは依然として大きな問題である。開発者のスキルレベルは、この特定の脆弱性に対しては最低水準の一つであった。この分野における自動化ツールやテストの不足を考慮すると、これは懸念材料であり、注意深く監視すべきである。この分野での啓発活動の強化は、この特定の脆弱性に対処するセキュリティチームの負担軽減にも寄与するだろう。
CWEは最も危険なソフトウェア脆弱性トップ25を列挙している
Common Weakness Enumeration(CWE)による25の最も危険なソフトウェア脆弱性リストは、開発者向けに、現代において最も頻繁に発生し、最も影響力の大きいソフトウェア脆弱性の年間リストを提供します。
#1 CWE-787 メモリ破損、#9 CWE-352 クロスサイトリクエストフォージェリ、および#10 CWE-434 ファイルアップロードは、Devlympicsにおいて最も低い精度値を示した。
インジェクション関連のセキュリティ脆弱性(例:#3 SWE-89 SQLインジェクション、#5 CWE-78 OSコマンドインジェクション、#8 CWE-22パストラバーサル)は、Devlympics期間中に最も高い成果を上げたCWEの一つでした。 開発者のスキルが向上するにつれ、これらの脆弱性はCWEトップ25やOWASPトップ10などの業界別ランキングにおいて順位を下げていくものと予測されます。
弱さ、問題ない
結論
2023年デブリンピックは、世界中の開発者が大会に参加しながら積極的に学び、成長していることを示しています。その影響は、競技への誇りだけにとどまらず、実践的なシナリオを通じて知識を定着させ、理論から応用へとスムーズに移行できる点にも現れています。
Secure Code Warrior 業界をリードするアジャイルなセキュアコード学習Secure Code Warrior 、開発者がセキュアなコードを書くために必要なスキルを習得できるようにします。
Secure Code Warrior を使えば、開発チーム向けにDevlympicsのような独自の大会を開催できます。チームを楽しいゲーム形式のコンテストに集結させ、ソフトウェアの脆弱性の発見、特定、修正に関するすべてを学ばせましょう。
成長するコミュニティに参加しよう
私たちのビジョンは、セキュリティ知識を持つ開発者のグローバルコミュニティを鼓舞し、予防的で安全なプログラミング文化を定着させることです。攻撃、脅威、リスクの発生を最小限に抑え、セキュリティ耐性を強化することに焦点を当て、皆様が変化を推進し、革新し、加速できるよう支援します。コーチングとメンタリングは、開発者コミュニティへの参加において不可欠な要素であると確信しています!
Devlympics 2024 にご登録いただき、X(旧Twitter)でフォローして最新情報をチェックしてください。
%20(1).avif)