開発者主導のセキュリティによる技術的負債の軽減
借金について話そう
サイバー犯罪が世界経済が直面する大きな問題になっていることは、今ではほとんどの人が知っています。2022年現在、米国におけるデータ漏えいの平均コストは、前年の905万ドルから944万ドルに増加しています。安全でないコードによるコストと、それに蓄積された技術的負債を無視しないことが重要です。2022年版によると 情報とソフトウェア品質のためのコンソーシアム:低品質ソフトウェアがもたらす代償 報告書によると、米国におけるソフトウェア品質の低下によるコストは2.41兆ドルに増加し、累積されたソフトウェア技術的負債は1.52兆ドルに増加したと推定されています。
既存のコードベースに変更を加える際の最大の障害となっているのは、安全でないコードに対処するためのコストの高騰と、その技術的負債です。そのため、既存のコードベースは悪用や外部からの脅威に対して脆弱なままになっています。ソフトウェア・セキュリティの状態は実存的危機に直面しています。蓄積された技術的負債に対処するだけでなく、セキュリティ体制を改善しなければならないことはわかっていますが、その障壁は非常に大きいです。
- 米国にはソフトウェア開発者およびIT関連の求人が約30万件あり、15%の増加率が見込まれています。
- 2025年までに、IT予算の 40% が技術的負債の維持に費やされると予測されています
- 開発者の週平均時間の 3 分の 1 は、テクノロジー関連の負債への対応に費やされています
クイックフィックスはリスクが高く、長期的にはコストがかかる
技術的負債とは何か、なぜそれがそれほど重要なのか?意思決定者がソフトウェア開発の問題に対して、より網羅的で長期的な解決策ではなく、短期的な解決策を求めると、技術負債が蓄積されます。これにはかなりの隠れたコストが伴い、組織は後で支払う必要があります。限度額に達したクレジットカードと同様に、技術的負債には主に次の 2 つの要素があります。
- 校長- ソフトウェアが望ましい保守性とセキュリティレベルに達するまでのリファクタリングまたは修正にかかる総コストを指します。
- 利息- 開発者がこれらの変更を行うために費やす余分な労力は、新しい機能ではなく、技術的負債のみに対処するためです。正しくないコードに1分費やすごとに、負債に利害が加わります。
新機能、バグ修正、メンテナンスのコストがプロジェクトの予算を上回り、ソフトウェアアプリケーションの価値が大幅に下がると、最終的に「技術的破産」の状態に達する可能性があります。
ただし、生活と同じように、ある程度の負債の蓄積は正常であり、ほとんどの場合、ある程度予想されます。
理想的には、すべてのソフトウェア開発者は、コードをリリースする前にバグをできるだけ減らすべきです。しかし、彼らには難しいトレードオフがあります。組織は競争力を高めるために、機能や製品を最小限のコストで迅速に顧客に提供したいと思うかもしれません。その結果、開発者のKPIは配信の速度と構築にかかる初期コストに基づいているため、アプリケーションの品質が低下します。全体像に欠けているのは、コードに組み込まれた欠陥や潜在的な脆弱性です。そのため、将来的にはバグやセキュリティの脆弱性、さらに悪いことに、悪者による悪用が起こりやすくなります。
しかし、そこには難問があります。大量の技術的負債を積み上げることなく、製品を迅速に出荷する別の方法があるのでしょうか?
欠陥や脆弱性の発見と修正にかかるコストは、ソフトウェア開発ライフサイクルにおける単一支出の中で最大です。開発ライフサイクルの早い段階で問題が発見されるほど、デリバリー全体の費用対効果は高まります。
技術的負債は担保負債に発展する可能性がある
多くの開発者は、オープンソースコードを使用してこのトレードオフを回避し、迅速に行動できるようにしています。理想的には、すでに精査されたソリューションを使用することです。ただし、オープンソースソフトウェアに大きく依存しています。 多くの場合、独自のリスクが伴います:
- オープンソースコンポーネントの 82% が古い(パッチが適用されていない、または十分にサポートされていない)ことが判明した
- コードベースの 75% には脆弱性があり(2018年の 60% から増加)、49% には高リスクの脆弱性が含まれていた
- コードベースごとに平均82件の脆弱性が特定されました
これにより、技術的負債の一部、つまり担保債務が急増しています。セキュリティ負債とは、ソフトウェアアプリケーションに蓄積された脆弱性により、データやシステムを攻撃から保護することが困難になったり、不可能になったりすることです。
最も悪名高い例の1つは、信用調査大手のEquifaxです。 2017年に違反されました これは、人気のあるオープンソースのWebアプリケーションフレームワークであるApache Strutsの既知の脆弱性にパッチを適用できなかったためです。このパッチは何ヶ月も前から公開されていましたが、この侵害により、1億4700万人以上の人々の重要な個人データが侵害されました。
そのため、多くのアプリケーションが、技術的な負債だけでなく、アプリケーション自体に潜むセキュリティ上の弱点や脆弱性の密度の高さから、クリティカルな状態に達していることから、安全なコーディング手法にもっと注意を払う必要があります。
これにより、有形または無形の巨額の損失が発生する可能性があります。
評判の低下:顧客の信頼が失われることは、将来的に非常に悪い影響を与える可能性があります。これには、ブランドへの損害、売上の損失、侵害による費用のかかる法的問題などが含まれます。
規制とコンプライアンスへの影響:セキュリティ違反により、企業が期限や契約上の義務を逃す可能性がある場合。SLA を満たさないと、企業は規制当局とのトラブルに巻き込まれ、多額の罰金が科せられる可能性があります。
修復費用: 障害やシステム停止の後には、生産性の低下を補うために余分な作業が必要になることがよくあります。
SDLCにおける技術的および安全保障上の負債の防止
多くの組織はすでに、より強力なセキュリティ体制を構築するために予算を変更しています。昨年、 グーグル、5年間で100億ドルを拠出 サイバーセキュリティを強化するプログラムに資金を提供するためです。バイデン政権も要請した。 2022年の裁量予算は21億ドル サイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)向け。
より多くのリソースとトレーニングを提供して、開発者の専門的成長と知識を強化することが、本番環境に出荷されるすべてのコードの品質基準を確立するための第一歩となります。
脆弱性や欠陥の発見と修正にかかるコストは、ソフトウェア開発サイクルの後半になって発見され対処されるほど急激に増加します。これまで見てきたように、技術面やセキュリティ面での負債の解決に多大な時間を費やしている組織は、イノベーションや新機能や新製品への時間を費やすことを控え、自ら損失を被っています。
2022年には、開発者チームの大多数がDevOpsまたはDevSecOpsが最適な方法論であると回答しましたが、その理由は驚くことではありません。DevSecOps は、より優れた、より安全なアプリケーションを提供するために、ソフトウェア開発ライフサイクルのあらゆる段階でセキュリティを統合します。セキュリティチームと開発チームは引き続きサイロ化された状態で働き続け、緊張状態にあります。しかし、ビジネスを成功させるには、この状況を変える必要があることは明らかです。DevOps は、組織が障壁を打ち破り、文化を再構築しようとしている方法の一部です。DevSecOps の基本的な目標は、ソフトウェア開発ライフサイクルの初期段階から AppSec/Security と開発者との間のコラボレーションを強化することです。
技術的負債とセキュリティに対処するための新しい考え方を実装することは、必ずしも途方もない偉業である必要はありません。組織の開発者コミュニティのセキュリティ意識とスキルを向上させるには、トレーニングを通じて先を見越した考え方を身につけることが不可欠です。開発者にしっかりとしたセキュア・コーディング教育を行うことで、継続的、双方向的、関連性が高く、状況に応じた学習が不可欠です。真に包括的なアプローチをとるには、開発者主導の真のセキュリティ文化を育むために何が必要かを考える必要があります。そのためには、開発者チームの管理や構築の一般的な方法から焦点を変える必要があるかもしれません。
文化を変えることは容易ではありませんが、Secure Code Warriorはセキュリティチャンピオンを特定し、開発者や組織が今日の絶え間なく変化するセキュリティ課題に取り組むための適切なスキルを身に付けるのに役立ちます。
魅力的でスケーラブルなセキュアコードプログラムを立ち上げることは、セキュリティに対する過去の事後対応型ではなく、長期的な予防的アプローチをとっているため、投資する価値があります。これは最終的に、侵害によるコストのかかるリスクを軽減し、脆弱性を迅速に発見して修正する方法を開発者に教育し、製品開発に集中して市場投入までの時間を短縮するためのよりアジャイルな方法を促進するのに役立ちます。
安全でないコードとその後の技術的負債に対処するためのコストは、今日のテクノロジーが直面している最大の障害の1つです。スケーラブルで安全なコードトレーニングプログラムを実装することで、不適切なコーディングパターンに対処し、ソフトウェア開発サイクルの早い段階で脆弱性を検出することで、技術的負債を減らすのにどのように役立つかをご覧ください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
テイラー・ブロードフット・ナイマークは、セキュア・コード・ウォリアーのプロダクト・マーケティング・マネージャーです。サイバーセキュリティとアジャイルラーニングに関する記事を複数執筆し、製品発売、GTM戦略、顧客支援の責任者でもあります。
借金について話そう
サイバー犯罪が世界経済が直面する大きな問題になっていることは、今ではほとんどの人が知っています。2022年現在、米国におけるデータ漏えいの平均コストは、前年の905万ドルから944万ドルに増加しています。安全でないコードによるコストと、それに蓄積された技術的負債を無視しないことが重要です。2022年版によると 情報とソフトウェア品質のためのコンソーシアム:低品質ソフトウェアがもたらす代償 報告書によると、米国におけるソフトウェア品質の低下によるコストは2.41兆ドルに増加し、累積されたソフトウェア技術的負債は1.52兆ドルに増加したと推定されています。
既存のコードベースに変更を加える際の最大の障害となっているのは、安全でないコードに対処するためのコストの高騰と、その技術的負債です。そのため、既存のコードベースは悪用や外部からの脅威に対して脆弱なままになっています。ソフトウェア・セキュリティの状態は実存的危機に直面しています。蓄積された技術的負債に対処するだけでなく、セキュリティ体制を改善しなければならないことはわかっていますが、その障壁は非常に大きいです。
- 米国にはソフトウェア開発者およびIT関連の求人が約30万件あり、15%の増加率が見込まれています。
- 2025年までに、IT予算の 40% が技術的負債の維持に費やされると予測されています
- 開発者の週平均時間の 3 分の 1 は、テクノロジー関連の負債への対応に費やされています
クイックフィックスはリスクが高く、長期的にはコストがかかる
技術的負債とは何か、なぜそれがそれほど重要なのか?意思決定者がソフトウェア開発の問題に対して、より網羅的で長期的な解決策ではなく、短期的な解決策を求めると、技術負債が蓄積されます。これにはかなりの隠れたコストが伴い、組織は後で支払う必要があります。限度額に達したクレジットカードと同様に、技術的負債には主に次の 2 つの要素があります。
- 校長- ソフトウェアが望ましい保守性とセキュリティレベルに達するまでのリファクタリングまたは修正にかかる総コストを指します。
- 利息- 開発者がこれらの変更を行うために費やす余分な労力は、新しい機能ではなく、技術的負債のみに対処するためです。正しくないコードに1分費やすごとに、負債に利害が加わります。
新機能、バグ修正、メンテナンスのコストがプロジェクトの予算を上回り、ソフトウェアアプリケーションの価値が大幅に下がると、最終的に「技術的破産」の状態に達する可能性があります。
ただし、生活と同じように、ある程度の負債の蓄積は正常であり、ほとんどの場合、ある程度予想されます。
理想的には、すべてのソフトウェア開発者は、コードをリリースする前にバグをできるだけ減らすべきです。しかし、彼らには難しいトレードオフがあります。組織は競争力を高めるために、機能や製品を最小限のコストで迅速に顧客に提供したいと思うかもしれません。その結果、開発者のKPIは配信の速度と構築にかかる初期コストに基づいているため、アプリケーションの品質が低下します。全体像に欠けているのは、コードに組み込まれた欠陥や潜在的な脆弱性です。そのため、将来的にはバグやセキュリティの脆弱性、さらに悪いことに、悪者による悪用が起こりやすくなります。
しかし、そこには難問があります。大量の技術的負債を積み上げることなく、製品を迅速に出荷する別の方法があるのでしょうか?
欠陥や脆弱性の発見と修正にかかるコストは、ソフトウェア開発ライフサイクルにおける単一支出の中で最大です。開発ライフサイクルの早い段階で問題が発見されるほど、デリバリー全体の費用対効果は高まります。
技術的負債は担保負債に発展する可能性がある
多くの開発者は、オープンソースコードを使用してこのトレードオフを回避し、迅速に行動できるようにしています。理想的には、すでに精査されたソリューションを使用することです。ただし、オープンソースソフトウェアに大きく依存しています。 多くの場合、独自のリスクが伴います:
- オープンソースコンポーネントの 82% が古い(パッチが適用されていない、または十分にサポートされていない)ことが判明した
- コードベースの 75% には脆弱性があり(2018年の 60% から増加)、49% には高リスクの脆弱性が含まれていた
- コードベースごとに平均82件の脆弱性が特定されました
これにより、技術的負債の一部、つまり担保債務が急増しています。セキュリティ負債とは、ソフトウェアアプリケーションに蓄積された脆弱性により、データやシステムを攻撃から保護することが困難になったり、不可能になったりすることです。
最も悪名高い例の1つは、信用調査大手のEquifaxです。 2017年に違反されました これは、人気のあるオープンソースのWebアプリケーションフレームワークであるApache Strutsの既知の脆弱性にパッチを適用できなかったためです。このパッチは何ヶ月も前から公開されていましたが、この侵害により、1億4700万人以上の人々の重要な個人データが侵害されました。
そのため、多くのアプリケーションが、技術的な負債だけでなく、アプリケーション自体に潜むセキュリティ上の弱点や脆弱性の密度の高さから、クリティカルな状態に達していることから、安全なコーディング手法にもっと注意を払う必要があります。
これにより、有形または無形の巨額の損失が発生する可能性があります。
評判の低下:顧客の信頼が失われることは、将来的に非常に悪い影響を与える可能性があります。これには、ブランドへの損害、売上の損失、侵害による費用のかかる法的問題などが含まれます。
規制とコンプライアンスへの影響:セキュリティ違反により、企業が期限や契約上の義務を逃す可能性がある場合。SLA を満たさないと、企業は規制当局とのトラブルに巻き込まれ、多額の罰金が科せられる可能性があります。
修復費用: 障害やシステム停止の後には、生産性の低下を補うために余分な作業が必要になることがよくあります。
SDLCにおける技術的および安全保障上の負債の防止
多くの組織はすでに、より強力なセキュリティ体制を構築するために予算を変更しています。昨年、 グーグル、5年間で100億ドルを拠出 サイバーセキュリティを強化するプログラムに資金を提供するためです。バイデン政権も要請した。 2022年の裁量予算は21億ドル サイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)向け。
より多くのリソースとトレーニングを提供して、開発者の専門的成長と知識を強化することが、本番環境に出荷されるすべてのコードの品質基準を確立するための第一歩となります。
脆弱性や欠陥の発見と修正にかかるコストは、ソフトウェア開発サイクルの後半になって発見され対処されるほど急激に増加します。これまで見てきたように、技術面やセキュリティ面での負債の解決に多大な時間を費やしている組織は、イノベーションや新機能や新製品への時間を費やすことを控え、自ら損失を被っています。
2022年には、開発者チームの大多数がDevOpsまたはDevSecOpsが最適な方法論であると回答しましたが、その理由は驚くことではありません。DevSecOps は、より優れた、より安全なアプリケーションを提供するために、ソフトウェア開発ライフサイクルのあらゆる段階でセキュリティを統合します。セキュリティチームと開発チームは引き続きサイロ化された状態で働き続け、緊張状態にあります。しかし、ビジネスを成功させるには、この状況を変える必要があることは明らかです。DevOps は、組織が障壁を打ち破り、文化を再構築しようとしている方法の一部です。DevSecOps の基本的な目標は、ソフトウェア開発ライフサイクルの初期段階から AppSec/Security と開発者との間のコラボレーションを強化することです。
技術的負債とセキュリティに対処するための新しい考え方を実装することは、必ずしも途方もない偉業である必要はありません。組織の開発者コミュニティのセキュリティ意識とスキルを向上させるには、トレーニングを通じて先を見越した考え方を身につけることが不可欠です。開発者にしっかりとしたセキュア・コーディング教育を行うことで、継続的、双方向的、関連性が高く、状況に応じた学習が不可欠です。真に包括的なアプローチをとるには、開発者主導の真のセキュリティ文化を育むために何が必要かを考える必要があります。そのためには、開発者チームの管理や構築の一般的な方法から焦点を変える必要があるかもしれません。
文化を変えることは容易ではありませんが、Secure Code Warriorはセキュリティチャンピオンを特定し、開発者や組織が今日の絶え間なく変化するセキュリティ課題に取り組むための適切なスキルを身に付けるのに役立ちます。
魅力的でスケーラブルなセキュアコードプログラムを立ち上げることは、セキュリティに対する過去の事後対応型ではなく、長期的な予防的アプローチをとっているため、投資する価値があります。これは最終的に、侵害によるコストのかかるリスクを軽減し、脆弱性を迅速に発見して修正する方法を開発者に教育し、製品開発に集中して市場投入までの時間を短縮するためのよりアジャイルな方法を促進するのに役立ちます。
借金について話そう
サイバー犯罪が世界経済が直面する大きな問題になっていることは、今ではほとんどの人が知っています。2022年現在、米国におけるデータ漏えいの平均コストは、前年の905万ドルから944万ドルに増加しています。安全でないコードによるコストと、それに蓄積された技術的負債を無視しないことが重要です。2022年版によると 情報とソフトウェア品質のためのコンソーシアム:低品質ソフトウェアがもたらす代償 報告書によると、米国におけるソフトウェア品質の低下によるコストは2.41兆ドルに増加し、累積されたソフトウェア技術的負債は1.52兆ドルに増加したと推定されています。
既存のコードベースに変更を加える際の最大の障害となっているのは、安全でないコードに対処するためのコストの高騰と、その技術的負債です。そのため、既存のコードベースは悪用や外部からの脅威に対して脆弱なままになっています。ソフトウェア・セキュリティの状態は実存的危機に直面しています。蓄積された技術的負債に対処するだけでなく、セキュリティ体制を改善しなければならないことはわかっていますが、その障壁は非常に大きいです。
- 米国にはソフトウェア開発者およびIT関連の求人が約30万件あり、15%の増加率が見込まれています。
- 2025年までに、IT予算の 40% が技術的負債の維持に費やされると予測されています
- 開発者の週平均時間の 3 分の 1 は、テクノロジー関連の負債への対応に費やされています
クイックフィックスはリスクが高く、長期的にはコストがかかる
技術的負債とは何か、なぜそれがそれほど重要なのか?意思決定者がソフトウェア開発の問題に対して、より網羅的で長期的な解決策ではなく、短期的な解決策を求めると、技術負債が蓄積されます。これにはかなりの隠れたコストが伴い、組織は後で支払う必要があります。限度額に達したクレジットカードと同様に、技術的負債には主に次の 2 つの要素があります。
- 校長- ソフトウェアが望ましい保守性とセキュリティレベルに達するまでのリファクタリングまたは修正にかかる総コストを指します。
- 利息- 開発者がこれらの変更を行うために費やす余分な労力は、新しい機能ではなく、技術的負債のみに対処するためです。正しくないコードに1分費やすごとに、負債に利害が加わります。
新機能、バグ修正、メンテナンスのコストがプロジェクトの予算を上回り、ソフトウェアアプリケーションの価値が大幅に下がると、最終的に「技術的破産」の状態に達する可能性があります。
ただし、生活と同じように、ある程度の負債の蓄積は正常であり、ほとんどの場合、ある程度予想されます。
理想的には、すべてのソフトウェア開発者は、コードをリリースする前にバグをできるだけ減らすべきです。しかし、彼らには難しいトレードオフがあります。組織は競争力を高めるために、機能や製品を最小限のコストで迅速に顧客に提供したいと思うかもしれません。その結果、開発者のKPIは配信の速度と構築にかかる初期コストに基づいているため、アプリケーションの品質が低下します。全体像に欠けているのは、コードに組み込まれた欠陥や潜在的な脆弱性です。そのため、将来的にはバグやセキュリティの脆弱性、さらに悪いことに、悪者による悪用が起こりやすくなります。
しかし、そこには難問があります。大量の技術的負債を積み上げることなく、製品を迅速に出荷する別の方法があるのでしょうか?
欠陥や脆弱性の発見と修正にかかるコストは、ソフトウェア開発ライフサイクルにおける単一支出の中で最大です。開発ライフサイクルの早い段階で問題が発見されるほど、デリバリー全体の費用対効果は高まります。
技術的負債は担保負債に発展する可能性がある
多くの開発者は、オープンソースコードを使用してこのトレードオフを回避し、迅速に行動できるようにしています。理想的には、すでに精査されたソリューションを使用することです。ただし、オープンソースソフトウェアに大きく依存しています。 多くの場合、独自のリスクが伴います:
- オープンソースコンポーネントの 82% が古い(パッチが適用されていない、または十分にサポートされていない)ことが判明した
- コードベースの 75% には脆弱性があり(2018年の 60% から増加)、49% には高リスクの脆弱性が含まれていた
- コードベースごとに平均82件の脆弱性が特定されました
これにより、技術的負債の一部、つまり担保債務が急増しています。セキュリティ負債とは、ソフトウェアアプリケーションに蓄積された脆弱性により、データやシステムを攻撃から保護することが困難になったり、不可能になったりすることです。
最も悪名高い例の1つは、信用調査大手のEquifaxです。 2017年に違反されました これは、人気のあるオープンソースのWebアプリケーションフレームワークであるApache Strutsの既知の脆弱性にパッチを適用できなかったためです。このパッチは何ヶ月も前から公開されていましたが、この侵害により、1億4700万人以上の人々の重要な個人データが侵害されました。
そのため、多くのアプリケーションが、技術的な負債だけでなく、アプリケーション自体に潜むセキュリティ上の弱点や脆弱性の密度の高さから、クリティカルな状態に達していることから、安全なコーディング手法にもっと注意を払う必要があります。
これにより、有形または無形の巨額の損失が発生する可能性があります。
評判の低下:顧客の信頼が失われることは、将来的に非常に悪い影響を与える可能性があります。これには、ブランドへの損害、売上の損失、侵害による費用のかかる法的問題などが含まれます。
規制とコンプライアンスへの影響:セキュリティ違反により、企業が期限や契約上の義務を逃す可能性がある場合。SLA を満たさないと、企業は規制当局とのトラブルに巻き込まれ、多額の罰金が科せられる可能性があります。
修復費用: 障害やシステム停止の後には、生産性の低下を補うために余分な作業が必要になることがよくあります。
SDLCにおける技術的および安全保障上の負債の防止
多くの組織はすでに、より強力なセキュリティ体制を構築するために予算を変更しています。昨年、 グーグル、5年間で100億ドルを拠出 サイバーセキュリティを強化するプログラムに資金を提供するためです。バイデン政権も要請した。 2022年の裁量予算は21億ドル サイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)向け。
より多くのリソースとトレーニングを提供して、開発者の専門的成長と知識を強化することが、本番環境に出荷されるすべてのコードの品質基準を確立するための第一歩となります。
脆弱性や欠陥の発見と修正にかかるコストは、ソフトウェア開発サイクルの後半になって発見され対処されるほど急激に増加します。これまで見てきたように、技術面やセキュリティ面での負債の解決に多大な時間を費やしている組織は、イノベーションや新機能や新製品への時間を費やすことを控え、自ら損失を被っています。
2022年には、開発者チームの大多数がDevOpsまたはDevSecOpsが最適な方法論であると回答しましたが、その理由は驚くことではありません。DevSecOps は、より優れた、より安全なアプリケーションを提供するために、ソフトウェア開発ライフサイクルのあらゆる段階でセキュリティを統合します。セキュリティチームと開発チームは引き続きサイロ化された状態で働き続け、緊張状態にあります。しかし、ビジネスを成功させるには、この状況を変える必要があることは明らかです。DevOps は、組織が障壁を打ち破り、文化を再構築しようとしている方法の一部です。DevSecOps の基本的な目標は、ソフトウェア開発ライフサイクルの初期段階から AppSec/Security と開発者との間のコラボレーションを強化することです。
技術的負債とセキュリティに対処するための新しい考え方を実装することは、必ずしも途方もない偉業である必要はありません。組織の開発者コミュニティのセキュリティ意識とスキルを向上させるには、トレーニングを通じて先を見越した考え方を身につけることが不可欠です。開発者にしっかりとしたセキュア・コーディング教育を行うことで、継続的、双方向的、関連性が高く、状況に応じた学習が不可欠です。真に包括的なアプローチをとるには、開発者主導の真のセキュリティ文化を育むために何が必要かを考える必要があります。そのためには、開発者チームの管理や構築の一般的な方法から焦点を変える必要があるかもしれません。
文化を変えることは容易ではありませんが、Secure Code Warriorはセキュリティチャンピオンを特定し、開発者や組織が今日の絶え間なく変化するセキュリティ課題に取り組むための適切なスキルを身に付けるのに役立ちます。
魅力的でスケーラブルなセキュアコードプログラムを立ち上げることは、セキュリティに対する過去の事後対応型ではなく、長期的な予防的アプローチをとっているため、投資する価値があります。これは最終的に、侵害によるコストのかかるリスクを軽減し、脆弱性を迅速に発見して修正する方法を開発者に教育し、製品開発に集中して市場投入までの時間を短縮するためのよりアジャイルな方法を促進するのに役立ちます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約テイラー・ブロードフット・ナイマークは、セキュア・コード・ウォリアーのプロダクト・マーケティング・マネージャーです。サイバーセキュリティとアジャイルラーニングに関する記事を複数執筆し、製品発売、GTM戦略、顧客支援の責任者でもあります。
借金について話そう
サイバー犯罪が世界経済が直面する大きな問題になっていることは、今ではほとんどの人が知っています。2022年現在、米国におけるデータ漏えいの平均コストは、前年の905万ドルから944万ドルに増加しています。安全でないコードによるコストと、それに蓄積された技術的負債を無視しないことが重要です。2022年版によると 情報とソフトウェア品質のためのコンソーシアム:低品質ソフトウェアがもたらす代償 報告書によると、米国におけるソフトウェア品質の低下によるコストは2.41兆ドルに増加し、累積されたソフトウェア技術的負債は1.52兆ドルに増加したと推定されています。
既存のコードベースに変更を加える際の最大の障害となっているのは、安全でないコードに対処するためのコストの高騰と、その技術的負債です。そのため、既存のコードベースは悪用や外部からの脅威に対して脆弱なままになっています。ソフトウェア・セキュリティの状態は実存的危機に直面しています。蓄積された技術的負債に対処するだけでなく、セキュリティ体制を改善しなければならないことはわかっていますが、その障壁は非常に大きいです。
- 米国にはソフトウェア開発者およびIT関連の求人が約30万件あり、15%の増加率が見込まれています。
- 2025年までに、IT予算の 40% が技術的負債の維持に費やされると予測されています
- 開発者の週平均時間の 3 分の 1 は、テクノロジー関連の負債への対応に費やされています
クイックフィックスはリスクが高く、長期的にはコストがかかる
技術的負債とは何か、なぜそれがそれほど重要なのか?意思決定者がソフトウェア開発の問題に対して、より網羅的で長期的な解決策ではなく、短期的な解決策を求めると、技術負債が蓄積されます。これにはかなりの隠れたコストが伴い、組織は後で支払う必要があります。限度額に達したクレジットカードと同様に、技術的負債には主に次の 2 つの要素があります。
- 校長- ソフトウェアが望ましい保守性とセキュリティレベルに達するまでのリファクタリングまたは修正にかかる総コストを指します。
- 利息- 開発者がこれらの変更を行うために費やす余分な労力は、新しい機能ではなく、技術的負債のみに対処するためです。正しくないコードに1分費やすごとに、負債に利害が加わります。
新機能、バグ修正、メンテナンスのコストがプロジェクトの予算を上回り、ソフトウェアアプリケーションの価値が大幅に下がると、最終的に「技術的破産」の状態に達する可能性があります。
ただし、生活と同じように、ある程度の負債の蓄積は正常であり、ほとんどの場合、ある程度予想されます。
理想的には、すべてのソフトウェア開発者は、コードをリリースする前にバグをできるだけ減らすべきです。しかし、彼らには難しいトレードオフがあります。組織は競争力を高めるために、機能や製品を最小限のコストで迅速に顧客に提供したいと思うかもしれません。その結果、開発者のKPIは配信の速度と構築にかかる初期コストに基づいているため、アプリケーションの品質が低下します。全体像に欠けているのは、コードに組み込まれた欠陥や潜在的な脆弱性です。そのため、将来的にはバグやセキュリティの脆弱性、さらに悪いことに、悪者による悪用が起こりやすくなります。
しかし、そこには難問があります。大量の技術的負債を積み上げることなく、製品を迅速に出荷する別の方法があるのでしょうか?
欠陥や脆弱性の発見と修正にかかるコストは、ソフトウェア開発ライフサイクルにおける単一支出の中で最大です。開発ライフサイクルの早い段階で問題が発見されるほど、デリバリー全体の費用対効果は高まります。
技術的負債は担保負債に発展する可能性がある
多くの開発者は、オープンソースコードを使用してこのトレードオフを回避し、迅速に行動できるようにしています。理想的には、すでに精査されたソリューションを使用することです。ただし、オープンソースソフトウェアに大きく依存しています。 多くの場合、独自のリスクが伴います:
- オープンソースコンポーネントの 82% が古い(パッチが適用されていない、または十分にサポートされていない)ことが判明した
- コードベースの 75% には脆弱性があり(2018年の 60% から増加)、49% には高リスクの脆弱性が含まれていた
- コードベースごとに平均82件の脆弱性が特定されました
これにより、技術的負債の一部、つまり担保債務が急増しています。セキュリティ負債とは、ソフトウェアアプリケーションに蓄積された脆弱性により、データやシステムを攻撃から保護することが困難になったり、不可能になったりすることです。
最も悪名高い例の1つは、信用調査大手のEquifaxです。 2017年に違反されました これは、人気のあるオープンソースのWebアプリケーションフレームワークであるApache Strutsの既知の脆弱性にパッチを適用できなかったためです。このパッチは何ヶ月も前から公開されていましたが、この侵害により、1億4700万人以上の人々の重要な個人データが侵害されました。
そのため、多くのアプリケーションが、技術的な負債だけでなく、アプリケーション自体に潜むセキュリティ上の弱点や脆弱性の密度の高さから、クリティカルな状態に達していることから、安全なコーディング手法にもっと注意を払う必要があります。
これにより、有形または無形の巨額の損失が発生する可能性があります。
評判の低下:顧客の信頼が失われることは、将来的に非常に悪い影響を与える可能性があります。これには、ブランドへの損害、売上の損失、侵害による費用のかかる法的問題などが含まれます。
規制とコンプライアンスへの影響:セキュリティ違反により、企業が期限や契約上の義務を逃す可能性がある場合。SLA を満たさないと、企業は規制当局とのトラブルに巻き込まれ、多額の罰金が科せられる可能性があります。
修復費用: 障害やシステム停止の後には、生産性の低下を補うために余分な作業が必要になることがよくあります。
SDLCにおける技術的および安全保障上の負債の防止
多くの組織はすでに、より強力なセキュリティ体制を構築するために予算を変更しています。昨年、 グーグル、5年間で100億ドルを拠出 サイバーセキュリティを強化するプログラムに資金を提供するためです。バイデン政権も要請した。 2022年の裁量予算は21億ドル サイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)向け。
より多くのリソースとトレーニングを提供して、開発者の専門的成長と知識を強化することが、本番環境に出荷されるすべてのコードの品質基準を確立するための第一歩となります。
脆弱性や欠陥の発見と修正にかかるコストは、ソフトウェア開発サイクルの後半になって発見され対処されるほど急激に増加します。これまで見てきたように、技術面やセキュリティ面での負債の解決に多大な時間を費やしている組織は、イノベーションや新機能や新製品への時間を費やすことを控え、自ら損失を被っています。
2022年には、開発者チームの大多数がDevOpsまたはDevSecOpsが最適な方法論であると回答しましたが、その理由は驚くことではありません。DevSecOps は、より優れた、より安全なアプリケーションを提供するために、ソフトウェア開発ライフサイクルのあらゆる段階でセキュリティを統合します。セキュリティチームと開発チームは引き続きサイロ化された状態で働き続け、緊張状態にあります。しかし、ビジネスを成功させるには、この状況を変える必要があることは明らかです。DevOps は、組織が障壁を打ち破り、文化を再構築しようとしている方法の一部です。DevSecOps の基本的な目標は、ソフトウェア開発ライフサイクルの初期段階から AppSec/Security と開発者との間のコラボレーションを強化することです。
技術的負債とセキュリティに対処するための新しい考え方を実装することは、必ずしも途方もない偉業である必要はありません。組織の開発者コミュニティのセキュリティ意識とスキルを向上させるには、トレーニングを通じて先を見越した考え方を身につけることが不可欠です。開発者にしっかりとしたセキュア・コーディング教育を行うことで、継続的、双方向的、関連性が高く、状況に応じた学習が不可欠です。真に包括的なアプローチをとるには、開発者主導の真のセキュリティ文化を育むために何が必要かを考える必要があります。そのためには、開発者チームの管理や構築の一般的な方法から焦点を変える必要があるかもしれません。
文化を変えることは容易ではありませんが、Secure Code Warriorはセキュリティチャンピオンを特定し、開発者や組織が今日の絶え間なく変化するセキュリティ課題に取り組むための適切なスキルを身に付けるのに役立ちます。
魅力的でスケーラブルなセキュアコードプログラムを立ち上げることは、セキュリティに対する過去の事後対応型ではなく、長期的な予防的アプローチをとっているため、投資する価値があります。これは最終的に、侵害によるコストのかかるリスクを軽減し、脆弱性を迅速に発見して修正する方法を開発者に教育し、製品開発に集中して市場投入までの時間を短縮するためのよりアジャイルな方法を促進するのに役立ちます。
%20(1).avif)
.avif)
