ピーテル・ダンヒユー

オーストラリア政府が国家のサイバーセキュリティレジリエンスを構築し、脅威に立ち向かう方法

オーストラリア政府がサイバーセキュリティに真剣に取り組んでいることから、サイバーセキュリティが国家レベルで主要なリスク領域として特定されていることは明らかですが、その戦略は十分に行き渡っているのでしょうか。

左にシフトするだけでは不十分:左から始めることがソフトウェア・セキュリティ・エクセレンスの鍵となる理由

「左へのシフト」、つまり開発プロセスのかなり早い段階でセキュリティを導入するというイニシアチブの多くは、針を十分に動かすことができません。

認定セキュリティ意識:開発者を昇格させるための行政命令

米国連邦政府からの最新の大統領令は、機能的なサイバーセキュリティの多くの側面に触れていますが、開発者の影響と、開発者が検証済みのセキュリティスキルと認識を持つ必要性を具体的に概説したのは初めてです。

新しいNISTガイドライン:安全なソフトウェアを作成するためにカスタマイズされたトレーニングが不可欠な理由

米国国立標準技術研究所（NIST）は、ソフトウェアの脆弱性とサイバーリスクを軽減するためのいくつかのアクションプランを詳述した最新のホワイトペーパーを発表しました。

急成長：5歳の誕生日おめでとう、セキュア・コード・ウォリアー

この記事を始めるにあたり、急成長を遂げつつあるスタートアップ企業を示すあらゆる事実と数字から始めることもできたでしょう。それらは紛れもなく印象的であり、当社の継続的な企業動向は堅調です。しかし、私にとって、これらの数字は私が2019年に最も誇りに思っていることを反映したものではありません。

セキュア・コード・ウォリアーに7年間携わり、それが現実味を帯び始めている

私たちの誕生日のマイルストーンは、私たちの努力の成果を振り返り、チームを祝い、自信を持って次の年に取り組むことを思い出させる素晴らしい機会です。そして、設立から7年が経過した今、私は疑問に思っています。私たちはそれを成し遂げたのか？これはもう本物の会社なの？もちろん、成熟には至りましたが、創業以来持っていた好奇心、情熱、マニアックさを決して失わないことを願っています。

開発者にインセンティブを与えることは、より良いセキュリティ慣行の鍵です

プロの開発者はDevSecOpsを採用して安全なコードを書きたいと考えていますが、その取り組みを拡大したいのであれば、組織はこの大きな変化をサポートする必要があります。

ゆーあコ・ウ・イイハー8歳分：産毛車中

今週、treux-a・ウォアーの8周年という祝福の日。どうも、このアフロ11の350倍の時間、45,000ウォット、またはろろくろパロプスイーイと5696回輪輪輪輪輪輪輪輪輪輪車。他人、ジャイ・タイ・サスの福301（新生、250年）。グラプラズズズズスイブラ、ププシーラー、レヴニオン、教訓、大金大人、.、、、

API on Wheels: リスクの高い脆弱性のロードトリップ

API セキュリティを偶然に任せることは、後で問題を起こす確実な方法であり、最悪の場合は壊滅的な結果を招き、やり直しはイライラさせられ、せいぜいパフォーマンスが低下します。

COVID-19コンタクトトレーシング:安全なコーディングの状況は？

コンタクトトレーシングアプリの背後にある考え方は健全です。このテクノロジーがうまく機能すれば、ホットスポットを迅速に発見し、包括的な検査を実施できるようになります。どちらも伝染性ウイルスの蔓延と戦うために不可欠な要素です。

ウェブアプリケーションのセキュリティ欠陥を引き起こす、忘れられた人的要因

なぜ安全なコードが重要なのか、安全でないコードがもたらす結果、そして最も重要なことは、そもそもそれぞれのプログラミングフレームワークにこのような脆弱性を書かないようにするにはどうしたらいいのか、ということを誰も教えてくれないのであれば、開発者はどうやって安全なコードを書けばいいのでしょうか？

コピー/貼り付けは危険なコーディング手法です

この研究の意義は、これまで報告されていなかった、多くの憂慮すべきセキュアコーディングの問題について、経験的証拠を提供したことです。

2019年の最も危険なソフトウェアエラー：歴史が繰り返される証拠が増える

昨年末にかけて、MITREの素晴らしいコミュニティが、2019年に世界に影響を与えたCWEの最も危険なソフトウェアエラートップ25のリストを公開しました。そして、そのほとんどは驚くべきことではありませんでした。

ゆうあんコ・ウォアー-3本日とう

クマエビは、ちびっくり、あくまでも、あくまでも、あくまでも。

好奇心旺盛なセキュリティマインドを罰するのではなく、支援する必要がある理由

10代のセキュリティ研究者ビル・デミルカピが、学校で使用されているソフトウェアの重大な脆弱性を暴露したことで、確かにいくつかの思い出がよみがえりました。好奇心旺盛だった子供の頃、ソフトウェアのボンネットを持ち上げて内部を覗き込み、すべてがどのように機能するのか、そしてそれを壊すことができるかどうかを確認したことを覚えています。

一部のCISOは、セキュリティスキルの不足をチャンスに変えています

開発者が最初から安全なコードを書けるようにすることは、CISOにとってセキュリティの苦境からある程度プロアクティブなコントロールをつかむ機会であり、セキュリティチームと開発チームの両方にとって、迅速、簡単、かつ測定可能な改善の機会でもあります。

左へのシフト

開発者がJavaScriptでコーディングしているときにクロスサイトスクリプティングエラーを記述し、その欠陥を作成してから数分以内にそれを検出できる場合

2021年のサイバーセキュリティ予測：銀河間の戦いが始まる

2021年は、サイバー脅威から銀河を守る、新しい種類の宇宙開発競争が主流になる年になると予測しています。

サイバー犯罪者が医療機関を攻撃している（しかし反撃はできる）

医療上の問題を診断し、治療を提供し、生命を維持する機械そのものを犯罪者が攻撃する中、医療は次の「大きな」サイバーセキュリティの戦場となる可能性があります。

DevSecOps: 古いセキュリティバグが未だに新たなトリックを仕掛けている

サイバーセキュリティでは、私たちはしばしばハンターのようです。私たちの目は地平線にしっかりと釘付けになり、次のブレイクアウトの脆弱性を探しています。しかし、このように将来を見据えた視点は、セキュリティ意識全体を弱めるという意外な効果をもたらす可能性があります。

OWASP アプリケーション・セキュリティ・デー 2019: 安全な開発者の育成

開発者に焦点を当てたこれらのイベントは、カレンダーの中で私のお気に入りの1つです。ソフトウェアエンジニアやスペシャリストの教育と支援にたゆまぬ努力を続けているコミュニティのことを謙虚に思い出させてくれます。

アプリケーション・セキュリティ・バッドランドで必要な変化:私の 2019 年の予測

私たちが直面している本当の戦いは、スクリプト小僧や危険な組織化されたサイバー犯罪シンジケートに対するものではありません。データ侵害が起こっていることを、より多くの人々に気にかけてもらうことです。

ソフトウェア・セキュリティは西部開拓時代にある（そしてそれは我々を死に至らしめることになる）

ソフトウェアセキュリティは私にとって常に最優先事項であり、ますますデジタル化が進み、個人情報を共有するライフスタイルによってもたらされる非常に現実的な危険も同様です。結局のところ、私たちはほとんど規制も監督もされておらず、幸いにも無視されている領域にいます。私たちは西部開拓時代にいます。

セキュリティプログラムはインシデント対応に重点を置いていますか?あなたのやり方は間違っています。

事後対応型ではなく予防型のアプローチに重点を置くことは、特に大規模で重大なセキュリティインシデントが発生していない場合、セキュリティチーム以外ではあまり理解されない可能性があります。

サイバーセキュリティトレーニングと積極的な強化

改訂された PCI セキュリティ標準化協議会ガイドライン:十分に左にシフトしているか?

今年、PCI Security Standards Councilは、PCIソフトウェア・セキュリティ・フレームワークの一環として、まったく新しいソフトウェア・セキュリティ・ガイドラインを発表しました。この更新は、ソフトウェア・セキュリティのベスト・プラクティスを最新のソフトウェア開発と一致させることを目的としています。

メタバースにおける悪意:新たなフロンティアにおける既知のサイバー脅威との戦い

現在のデジタル最愛の要素であるメタバースの出現により、コードレベルの脆弱性とソーシャルエンジニアリングの両方に新たな攻撃対象領域が加わりました。そして、私たちは煙と鏡の上で繁栄するこの新しい競争の場での戦いに備えていないだけです。

開発者はリスクの第一線なのか、それとも防御の最前線なのか？当社のセキュア・コーディング・チェックリストに照らして御社を評価してください

CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。

ファーウェイのセキュリティUKの問題は安全なコーディングの必要性を示している

英国のファーウェイサイバーセキュリティ評価センターからの最近の報告では、ファーウェイのソフトウェアエンジニアリングプロセスにおける主要なセキュリティ問題が特定されました。しかし、これは解決できる問題です。

API の保護:ミッションは不可能?

API セキュリティは厳しいものですが、十分なトレーニング、計画、ベストプラクティスへの注力があれば、どんなに厄介な脆弱性でも軽減できます。

スタティック対.ダイナミック・サイバーセキュリティ・トレーニング:衝動的なコンプライアンス、今後の問題

規制イニシアティブは時間の経過とともに改善され拡大することは間違いありませんが、組織がすでにパニックに陥り、今すぐトレーニングを開始している場合、将来に向けた準備が整っていないことに気付くかもしれません。

DevOpsの実装が失敗することが多い理由（およびその修正方法）

DevOpsの実装で真に成功している企業はほとんどありません。しかし、ビジネス全体にわたる適切なサポート、育成、理解があれば、プロセスを変えることができます。

GitHub ユーザが平文文の問題で身代金を要求される

最近のGitHubリポジトリへの攻撃は、セキュリティ業界でよく知られている問題を浮き彫りにしました。それは、ほとんどの開発者がセキュリティを十分に認識しておらず、貴重なデータがいつでも危険にさらされる可能性があるということです。

DevSecOpsの明るい未来とは？思っているよりも近い

コードの脆弱性を発見するソリューションは数多くありますが、セキュリティでは、そもそもミスを防ぐためのセキュリティガイドラインに従うよう開発者に教えることに重点を置く必要があります。

政府のサプライチェーンパイプラインにおけるサイバー脆弱性の覆いを解く

サイバーセキュリティが重要であることは明らかですが、サプライチェーンの観点から見ると、サイバーセキュリティは実際には何を意味するのでしょうか。

DACHにおけるDevSecOps: セキュア・コーディング・パイロット・プログラムから得られた主な調査結果

GDPRの到来と、ドイツ連邦政府のサーバーだけでなく、多くの著名人の機密データが漏洩した後の戦略の改訂により、サイバーセキュリティの認識と行動がDACH地域のリーダーにとって最優先事項であることは明らかです。

侵害が増え、問題が増える：サードパーティーアプリへの信頼の代償

セキュリティを企業のイノベーションの道における苛立たしい障害と考えるのはやめなければなりません。

村が必要:コミュニティ精神がより安全な開発者を生み出す方法

あらゆる階層のあらゆるタイプの開発者がおり、私たちが行うすべてのことには常にコミュニティ意識がありました。

開発者は「セキュアコーディング」をどのように定義していますか?

何がセキュアコーディング行為を構成するのかという認識については、議論の余地があります。Evans Dataと共同で行った最近の調査によると、この感情は白黒で明らかになっています。開発者主導型セキュリティ2022の現状調査では、1,200人のアクティブな開発者の主要な洞察と経験を掘り下げ、セキュリティ分野における彼らの態度と課題を明らかにしています。

ウーマン・イン・セキュリティ：ファテマ・ベイドンにスポットライトを当てる

カスタマーサクセス担当副社長のファテマ・ベイドゥーンは最近、「未来のためのメンタリング：女性のサイバーセキュリティ人材を育成するために、私たち全員がもっとうまくやれる方法」と題した講演を、非常に好意的な聴衆に向けて発表しました。彼女はサイバーセキュリティ業界に前向きな変化をもたらす上で欠かせない存在です。

詳細なセキュリティトレーニングが教育に疑問を投げかけている

安全なコーディングは、高等教育レベルでのソフトウェアエンジニアリングの必須コンポーネントになる必要がありますが、一部の大学では、開発プロセスの一部として一流のトレーニングを提供し、最初からセキュリティを優先させることを主導しています。p

クリエイティブなCISOとCIOがセキュリティプログラムをどのように革新し、変革できるか

創造的で刺激的なCISOやCIOには、デジタル世界を革新して形作る力がありますが、組織のセキュリティ文化を変革する上でも重要な役割を果たすことができます。

グレート・グローバル・パッチ：VxWorksの欠陥により数百万台のデバイスが危険にさらされる

VxWorksは平均的な消費者にはあまり知られていませんが、このソフトウェア製品は、あなたや私と同じように、毎日多くの人々にメリットをもたらしています。そして今、私たちは何億台ものVxWorks搭載デバイスが危険にさらされている可能性に直面しています。

ゲーミフィケーションがソフトウェアセキュリティのレベルアップの鍵となる理由

私たちは話題を変え、セキュリティをすべての開発者の仕事に欠かせないものにするよう努めなければなりません。そのための最善の方法の一つは、ゲーミフィケーションなどを通じて開発者にセキュリティに関する権限を与え、関与させることだと思います。

セキュア・コード・ウォリアーの6年：私たちはもう大人になったのか？

今は（とにかく、私たちにとって）特別な時期。直近の太陽の周りを一周し、過去365日間に何が行われたかを振り返り、成長、教訓、そして避けられない予測不可能な新年に向けて準備を整えるために何が行われてきたかを振り返ります。

セキュア・コード・ウォリアーとバグクラウド:セキュリティオタクの天国での試合

公式発表です。私たちはBugcrowdと協力して、安全なコーディングに関する開発者の教育、能力強化、啓発に取り組んでいます。

開発者トーナメント:セキュリティ文化とエンゲージメントを向上させるためのAppSecの秘密兵器

そろそろ警備のイメージチェンジをする時だと思わない？会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。

このマインドリーダーから教訓を得て、セキュリティをもう一度楽しくしましょう！

サイバーセキュリティについて経営幹部のトレーニングを行う場合でも、JAVA や C# の開発者がコーディングスキルを確保できるよう支援する場合でも、創造性、ゲーミフィケーション、そして楽しみの場があります。

国際女性工学デー：スターたちに会いましょう

6月23日は、国際女性工学デーを記念するオタクカレンダーの特別な日です。これは、ソフトウェア開発における女性の貢献に光を当てるチャンスです。

共感、感謝、謙虚さ：私たちの文化の基礎

ソフトウェアセキュリティ業界は、温かくぼんやりとした気持ち、気まぐれな観察、人生観でよく知られているわけではありませんが、年をとるにつれて、私たち全員が世界にもたらす影響について考えていることに気づきます。

採用プロセスを改善するビデオゲーム

サイバーセキュリティのベストプラクティスについては、金融業界に目を向けてください

サイバー攻撃は増加の一途をたどり、あらゆる業種のあらゆるタイプの組織に影響を及ぼしています。高額で恥ずかしいだけでなく、収益にも影響を及ぼすデータ漏洩の脅威は非常に現実的です。問題は小さくなっているのではなく、腫瘍のように大きくなっていることです。

サイバーセキュリティの未来:今後1年間に起こらないこと

私たちの業界では、多くのセキュリティ専門家が、今年発生する可能性のある問題の予測を開始していますが、2019年には50億件を超える機密データレコードが盗まれたことを踏まえ、近い将来、サイバーセキュリティで何が起こらないかを予測する方が正確であることがわかりました。

開発者向けセキュリティトレーニングを効果的に展開する方法:5 つの重要な教訓

効果的な開発者セキュリティトレーニングを展開する方法に関する5つの重要な教訓

組織階層におけるソフトウェアの再考

アプリとソフトウェアの責任を厳密な階層の中で定義し、それらのポリシーを最小限の権限で適用できるようにすることで、さまざまな脅威環境があってもアプリやソフトウェアが存続し、繁栄できるようにすることができます。

私たちはオープンソース・ソフトウェア・セキュリティ・モビリゼーション・プランに向けて十分に成熟していますか？

オープンソース・ソフトウェア・セキュリティ・モビリゼーション・プランは、開発者主導のセキュリティにとって前向きな一歩です。しかし、私たちは皆、最新かつ最高の防御戦略を実装するのに十分なほど組織内で成熟しているかどうか、そして開発チームが適切なレベルのセキュリティ意識とスキルを持っているかどうかを評価し、正直に評価する必要があります。

ベスト・オブ・ザ・ブランチ:AppSecのリーダーが知恵を語る

AppSecのリーダーパネルは、組織のAppSec予算を最大限に活用する方法などの話題の多い問題や、聴衆から寄せられたいくつかの素朴な質問に取り組み、セキュリティスペシャリストが組織内で実行可能なプログラムを構築するのに役立つ、まさに朝礼のような内容でした。

4歳の誕生日おめでとう、セキュア・コード・ウォリアー、ユー・チーキー・リトル・トドラー

娘と会社が年をとるほど、スタートアップの旅と「初めて」の親の旅との間には、非常に多くの類似点があることに気づきます。私は今、どちらも4年目です。.pi

すべての開発者が将来の雇用主に尋ねるべき100万ドルの質問

卒業生であろうとベテランであろうと、すべての開発者が尋ねるべき質問があります。そして、その答えは重要です。

サイバーセキュリティ業界分析:繰り返し発生しているもう 1 つの脆弱性

現代のサイバーセキュリティという絶え間ない猛攻撃に対抗するための現実的なアドバイスも、最速の解決策も得られていません。もちろん、侵害はそれぞれ独自の方法で異なり、脆弱なソフトウェアに悪用される可能性のある攻撃ベクトルは数多くあります。実行可能な一般的なアドバイスは限られていますが、ベストプラクティスのアプローチは、時間ごとに欠陥が増えていくものです。

COBOL アプリケーション開発セキュリティ | セキュア・コード・ウォリアー

レガシーCOBOLは古いコンピュータ言語ですが、今日でもまだ有効です。セキュア・コード・ウォリアーで、COBOLのセキュア・アプリケーション開発について詳しく学んでください。

リーク性のある API は企業の評判を海に流す恐れがある

API セキュリティは、ほとんどのセキュリティ専門家が気にする問題であり、対処するための知識を身に付ける必要があります。

PCI-DSS 4.0は思ったより早く登場し、組織のサイバーレジリエンスを高める機会となります

今年初め、PCIセキュリティ標準委員会はペイメントカード業界データセキュリティ標準（PCI DSS）のバージョン4.0を発表しました。組織は 2025 年 3 月まで 4.0 に完全に準拠する必要はありませんが、今回の更新はこれまでで最も大きな変革をもたらし、ほとんどの企業が複雑なセキュリティプロセスや自社の技術スタックの要素を評価 (そして場合によってはアップグレード) する必要があります。これに加えて、ロールベースのセキュリティ意識向上トレーニングや、開発者向けの定期的なセキュア・コーディング教育も実施することになります。

Secure Code WarriorのCEO兼共同創設者であるPieter Danhieux氏は、「誰もがサイバーセキュリティにおける自分の役割を理解し、受け入れるべきだ」と述べています。

セキュア・コード・ウォリアーのCEO兼共同創設者であるピーター・ダンヒュー氏によるサイバーニュースに関する質疑応答

プロアクティブな保護:高度な脅威防止のための国家サイバーセキュリティ戦略の活用

CISAの国家サイバーセキュリティ戦略は、ソフトウェア標準を全面的に引き上げ、最終的にはセキュリティスキルのある開発者の新時代の到来を告げる絶好の機会です。

LLM: 安全なコーディングのための（私の）完全に人間的なアプローチですか？

LLMスタイルのAIテクノロジーが、ソフトウェア開発だけでなく、仕事の多くの側面へのアプローチ方法を変えることは避けられないように見えますが、私たちは一歩下がって、見出しの先にあるリスクを考慮する必要があります。そして、コーディングのお供としては、その欠点はおそらく最も「人間的」な特徴でしょう。

安全なコーディングの水準を引き上げる：将来を見据えた企業へのアジャイル学習の導入

シリーズCの資金調達ラウンドの終了を発表しました。これにより、より多くの先駆的な組織が共通の脆弱性を阻止するために開発コホートの力を活用できるよう支援するという私たちの使命の次の段階に向けて、5,000万米ドルを調達しました。

明らかに：企業におけるアジャイル学習と開発者主導のセキュリティを強化するためのエキサイティングなパートナーシップ

シリーズCの資金調達の発表を終えたばかりですが、当社の歩みにおける新たな一歩を発表できることを嬉しく思います。セキュリティ業界のリーダーであるシノプシスは、製品スイートにエキサイティングな新製品を追加しました。それは、セキュア・コード・ウォリアーによるシノプシス・デベロッパー・セキュリティ・トレーニングです。

御社のセキュリティプログラムはCISAのサイバーセキュリティ戦略計画に対応できていますか？

サイバーセキュリティ戦略計画は、ほとんどの組織がサイバーセキュリティに取り組む方法に大きな変化をもたらしますが、開発者はこれらの新しい目標の達成を支援する独自の立場にあります。

パワー・オブ・ナイン：サイバーセキュリティにとってエキサイティングな時代におけるセキュア・コード・ウォリアーの遺産の成長

今日は私たちの9歳の誕生日です。状況が急速に変化し続ける中、サイバーセキュリティの世界における私たちの業績と永続的な地位を今でも非常に誇りに思い、感謝しています。

LinuxのXZ Utilsバックドアは、より広範なサプライチェーンのセキュリティ問題を示しており、それを食い止めるにはコミュニティ精神以上のものが必要です

主要なLinuxディストリビューションで使用されているXZ Utilsデータ圧縮ライブラリに、脅威アクターによるバックドアを通じて導入された重大な脆弱性CVE-2024-3094が発見されました。この重大度の高い問題により、リモートでコードが実行される可能性があり、ソフトウェアビルドプロセスに重大なリスクをもたらします。この欠陥は Fedora Rawhide の XZ Utils の初期バージョン (5.6.0 と 5.6.1) に影響を及ぼし、組織にパッチを実装するよう緊急に求められています。この事件は、オープンソースソフトウェアの維持におけるコミュニティボランティアの重要な役割を浮き彫りにするとともに、ソフトウェア開発ライフサイクルにおけるセキュリティ対策とアクセス制御の強化の必要性を浮き彫りにしました。

ディケイド・オブ・ザ・ディフェンダー：セキュア・コード・ウォリアーが10歳に

Secure Code Warriorの創設チームは、10年間、あらゆる教訓、勝利、挫折を乗り越え、一丸となって船を導いてきました。私たちは規模を拡大しつつあり、開発者リスク管理のリーダーとして、次の章である SCW 2.0 に立ち向かう準備ができています。

Vibe Codingはコードベースをフラットパーティーに変えるのでしょうか？

バイブコーディングは大学のパーティーのようなもので、AIはすべてのフェスティバルの目玉であり、鍵となるのはAIです。リラックスして、創造性を発揮し、想像力を働かせることができるかを見るのはとても楽しいことですが、樽を数本立てた後、適度に飲む（または AI を使用する）方が、長期的に安全な解決策であることは間違いありません。

優れたツールが悪用される時：AIツールポイズニング、そしてAIが二重スパイとして振る舞うのを防ぐ方法

ソフトウェア開発にエージェント型AIを早く導入しよう！(ネタバレ: たぶんやめた方がいい)

サイバーセキュリティの世界はエージェント型AIの動きが早すぎる？AIセキュリティの未来はここにあり、専門家は考察から現実へ移行する時期に来ている。

SCW 11周年：適応力と継続的改善のリアルタイムな教訓

2025年はAI、サイバーセキュリティ、そしてSCWにとって大きな年でした。私は2026年を静かな自信と、努力が実を結んだ者だけが持つ楽観をもって迎えています。