開発者にセキュリティ意識を持ってコーディングしてもらいたいですか?トレーニングを彼らに届けましょう。
ソフトウェア開発ライフサイクル(SDLC)は十分に無害に見えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし…ソフトウェア開発プロジェクトに参加したことがある方なら、それが通常、征服すべきクエストと倒すべきドラゴンを倒すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏洩、欠陥のあるアプリのリリース、そしてセキュリティ専門家の間でバグだらけのコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。
上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。機能するDevSecOpsプロセスでは、チーム全員がセキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、適切な種類のトレーニングを最優先事項とします。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携し、意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりむしろ煩わしく、開発者が嫌うものはどれも上手くいきません。一口サイズの知識に焦点を当てた IDE や課題管理ツールを統合したソリューションが一つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は以下の通りです。
「念のため」ではなく、ジャストインタイム。
状況に応じた実践的な学習一口サイズのチャンクを最も適切なタイミングで提供できるため、圧倒的に最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIT) トレーニングとも呼ばれ、セキュアコーディングを学ぶ開発者にとって非常に有効です。
トヨタのリーン生産方式の原則に基づき、JiTトレーニングは状況に応じて、最も重要な時に、知る必要がある時に受講できるよう設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要な時にすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけることをやめさせましょう。
1日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける5つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っている対策はあまり効果的ではないということです。ベライゾンの2020年データ漏洩調査報告書には、次のように明記されています。データ漏洩の43%はウェブの脆弱性に起因する可能性がある。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQLインジェクションやパストラバーサルといった昔ながらの一般的な脆弱性です。多額のデータ収入を得るために悪用されることもなく、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか?
セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特にGDPRの罰金、PCI-DSSコンプライアンス規制、NISTのガバナンス... そして、数百万ドル規模の巨額の集団訴訟(Equifaxのような)で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。
統合ツールをダウンロードするJiraそして GitHubさて、あなたの考えを教えてください。
1日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける5つのステップを踏む必要があるのでしょうか。
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
ソフトウェア開発ライフサイクル(SDLC)は十分に無害に見えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし…ソフトウェア開発プロジェクトに参加したことがある方なら、それが通常、征服すべきクエストと倒すべきドラゴンを倒すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏洩、欠陥のあるアプリのリリース、そしてセキュリティ専門家の間でバグだらけのコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。
上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。機能するDevSecOpsプロセスでは、チーム全員がセキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、適切な種類のトレーニングを最優先事項とします。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携し、意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりむしろ煩わしく、開発者が嫌うものはどれも上手くいきません。一口サイズの知識に焦点を当てた IDE や課題管理ツールを統合したソリューションが一つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は以下の通りです。
「念のため」ではなく、ジャストインタイム。
状況に応じた実践的な学習一口サイズのチャンクを最も適切なタイミングで提供できるため、圧倒的に最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIT) トレーニングとも呼ばれ、セキュアコーディングを学ぶ開発者にとって非常に有効です。
トヨタのリーン生産方式の原則に基づき、JiTトレーニングは状況に応じて、最も重要な時に、知る必要がある時に受講できるよう設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要な時にすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけることをやめさせましょう。
1日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける5つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っている対策はあまり効果的ではないということです。ベライゾンの2020年データ漏洩調査報告書には、次のように明記されています。データ漏洩の43%はウェブの脆弱性に起因する可能性がある。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQLインジェクションやパストラバーサルといった昔ながらの一般的な脆弱性です。多額のデータ収入を得るために悪用されることもなく、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか?
セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特にGDPRの罰金、PCI-DSSコンプライアンス規制、NISTのガバナンス... そして、数百万ドル規模の巨額の集団訴訟(Equifaxのような)で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。
統合ツールをダウンロードするJiraそして GitHubさて、あなたの考えを教えてください。
ソフトウェア開発ライフサイクル(SDLC)は十分に無害に見えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし…ソフトウェア開発プロジェクトに参加したことがある方なら、それが通常、征服すべきクエストと倒すべきドラゴンを倒すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏洩、欠陥のあるアプリのリリース、そしてセキュリティ専門家の間でバグだらけのコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。
上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。機能するDevSecOpsプロセスでは、チーム全員がセキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、適切な種類のトレーニングを最優先事項とします。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携し、意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりむしろ煩わしく、開発者が嫌うものはどれも上手くいきません。一口サイズの知識に焦点を当てた IDE や課題管理ツールを統合したソリューションが一つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は以下の通りです。
「念のため」ではなく、ジャストインタイム。
状況に応じた実践的な学習一口サイズのチャンクを最も適切なタイミングで提供できるため、圧倒的に最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIT) トレーニングとも呼ばれ、セキュアコーディングを学ぶ開発者にとって非常に有効です。
トヨタのリーン生産方式の原則に基づき、JiTトレーニングは状況に応じて、最も重要な時に、知る必要がある時に受講できるよう設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要な時にすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけることをやめさせましょう。
1日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける5つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っている対策はあまり効果的ではないということです。ベライゾンの2020年データ漏洩調査報告書には、次のように明記されています。データ漏洩の43%はウェブの脆弱性に起因する可能性がある。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQLインジェクションやパストラバーサルといった昔ながらの一般的な脆弱性です。多額のデータ収入を得るために悪用されることもなく、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか?
セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特にGDPRの罰金、PCI-DSSコンプライアンス規制、NISTのガバナンス... そして、数百万ドル規模の巨額の集団訴訟(Equifaxのような)で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。
統合ツールをダウンロードするJiraそして GitHubさて、あなたの考えを教えてください。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者および開発者です。フォーティファイ・ソフトウェアや自身の会社であるセンセイ・セキュリティなどの企業向けにソリューションを開発してきました。マティアスはキャリアを通じて、複数のアプリケーションセキュリティ研究プロジェクトを主導し、それが商用製品につながり、10件以上の特許を取得しています。デスクから離れている時には、上級アプリケーション・セキュリティ・トレーニング・コースの講師を務め、RSA Conference、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどのグローバルカンファレンスで定期的に講演を行っています。
マティアスはゲント大学でコンピューター工学の博士号を取得し、そこでアプリケーションの内部動作を隠すためのプログラムの難読化によるアプリケーションセキュリティを学びました。
ソフトウェア開発ライフサイクル(SDLC)は十分に無害に見えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし…ソフトウェア開発プロジェクトに参加したことがある方なら、それが通常、征服すべきクエストと倒すべきドラゴンを倒すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏洩、欠陥のあるアプリのリリース、そしてセキュリティ専門家の間でバグだらけのコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。
上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。機能するDevSecOpsプロセスでは、チーム全員がセキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、適切な種類のトレーニングを最優先事項とします。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携し、意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりむしろ煩わしく、開発者が嫌うものはどれも上手くいきません。一口サイズの知識に焦点を当てた IDE や課題管理ツールを統合したソリューションが一つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は以下の通りです。
「念のため」ではなく、ジャストインタイム。
状況に応じた実践的な学習一口サイズのチャンクを最も適切なタイミングで提供できるため、圧倒的に最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIT) トレーニングとも呼ばれ、セキュアコーディングを学ぶ開発者にとって非常に有効です。
トヨタのリーン生産方式の原則に基づき、JiTトレーニングは状況に応じて、最も重要な時に、知る必要がある時に受講できるよう設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要な時にすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけることをやめさせましょう。
1日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける5つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っている対策はあまり効果的ではないということです。ベライゾンの2020年データ漏洩調査報告書には、次のように明記されています。データ漏洩の43%はウェブの脆弱性に起因する可能性がある。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQLインジェクションやパストラバーサルといった昔ながらの一般的な脆弱性です。多額のデータ収入を得るために悪用されることもなく、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか?
セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特にGDPRの罰金、PCI-DSSコンプライアンス規制、NISTのガバナンス... そして、数百万ドル規模の巨額の集団訴訟(Equifaxのような)で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。
統合ツールをダウンロードするJiraそして GitHubさて、あなたの考えを教えてください。
目次
マティアス・マドゥ博士は、セキュリティ専門家、研究者、CTO、セキュア・コード・ウォリアーの共同創設者です。マティアスはゲント大学で静的解析ソリューションを中心としたアプリケーションセキュリティの博士号を取得しました。その後、米国のFortifyに入社し、開発者が安全なコードを書くのを手助けせずに、コードの問題を検出するだけでは不十分であることに気づきました。これがきっかけで、開発者を支援し、セキュリティの負担を軽減し、顧客の期待を超える製品を開発するようになりました。Team Awesomeの一員としてデスクにいない時は、RSAカンファレンス、BlackHat、DefConなどのカンファレンスでプレゼンテーションを行うステージでのプレゼンテーションを楽しんでいます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
