Réaligner votre organisation autour du codage sécurisé : obstacles, préoccupations et solutions actives
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
.avif)
Dans notre monde hyperconnecté, presque toutes les organisations ont un talon d'Achille commun. Une seule vulnérabilité, une seule faille exploitable dans leur code, peut entraîner le vol de données clients, une atteinte à la réputation et des pertes financières importantes. L'alignement organisationnel autour du codage sécurisé n'a jamais été aussi impératif, mais y parvenir est plus facile à dire qu'à faire.
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約する
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
レポートを表示するデモを予約する
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Cet article a été rédigé par l'équipe d'experts du secteur de Secure Code Warrior, qui s'est engagée à donner aux développeurs les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. S'appuyant sur une expertise approfondie en matière de pratiques de codage sécurisé, de tendances du secteur et de connaissances du monde réel.
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
目次
Secure Code Warrior fait du codage sécurisé une expérience positive et engageante pour les développeurs à mesure qu'ils améliorent leurs compétences. Nous guidons chaque codeur le long de son parcours d'apprentissage préféré, afin que les développeurs doués pour la sécurité deviennent les super-héros du quotidien de notre monde connecté.
Secure Code Warrior ソフトウェア開発ライフサイクル全体を通じてコードのセキュリティを確保し、サイバーセキュリティを最優先事項とする文化を構築するために、組織をSecure Code Warrior 。アプリケーションセキュリティ担当者、開発者、情報セキュリティ責任者、その他セキュリティに関わるあらゆる方々のために、当社は組織が非セキュアなコードに関連するリスクを軽減するお手伝いをいたします。
デモを予約するダウンロード
%20(1).avif)
.avif)
