開発者主導のセキュリティに対するまとまりのあるアプローチの確立
ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。
米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。
全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。
ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。
なぜ?
この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。
開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。
そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。
92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。
この状況を打開するために、組織は何をすればいいのでしょうか?
興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。
トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。
また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。
結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?
組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。
また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
多くのトップ企業や政府機関を含む人気のOrion管理ソフトウェアの18,000人以上のユーザーにソフトウェア更新プロセスを利用して感染させたSolarWindsキャンペーンのような大規模なセキュリティ侵害への対応として、開発者主導のより効果的なセキュリティ対策を求める声が高まっています。あらゆる規模の組織が、自社の「ソフトウェアサプライチェーン」に疑問を持ち始めており、ソフトウェアを開発する開発者には検証済みのセキュリティスキルと知識を持っていることを求めています。
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。
米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。
全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。
ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。
なぜ?
この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。
開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。
そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。
92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。
この状況を打開するために、組織は何をすればいいのでしょうか?
興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。
トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。
また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。
結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?
組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。
また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。
米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。
全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。
ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。
なぜ?
この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。
開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。
そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。
92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。
この状況を打開するために、組織は何をすればいいのでしょうか?
興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。
トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。
また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。
結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?
組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。
また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。
米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。
全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。
ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。
なぜ?
この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。
開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。
そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。
92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。
この状況を打開するために、組織は何をすればいいのでしょうか?
興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。
トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。
また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。
結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?
組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。
また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
目次
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]始めるためのリソース
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText アプリケーションセキュリティのパワー + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
.png)
