開発者はリスクの第一線なのか、それとも防御の最前線なのか?当社のセキュア・コーディング・チェックリストに照らして御社を評価してください
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
%20(1).avif)
.avif)
