セキュアコードインサイト

Secure Code Warriorでは、顧客体験を向上させ、プラットフォームを通じて付加価値を高めるために、常に革新を続けています。

今月は、コース管理者エクスペリエンス、待ち時間を短縮して新機能に早期アクセスできる機能、およびSAP: ABAPコンテンツの新しいアップデートをリリースしました。

言語や脆弱性カテゴリ全体で一括アクションを実行できる強力な表形式ビューのおかげで、管理者はエンドユーザーエクスペリエンスが向上し、コースをより簡単に管理できるようになりました。さらに、オン/オフを簡単に切り替えるだけで、新機能を早期に利用できるようになりました。

さっそく調べてみましょう！

新しいコース作成機能により、コースの作成と管理がより簡単になりました

一括操作により、複数の学習パスと言語にわたるコースを簡単に設計して展開できるようになりました。時間をかけてプロセスを再現する代わりに、開発者がより効果的に学習できるよう、コンテンツと戦略にもっと集中できます。

現在、コース作成フローの更新は企業管理者が利用できます。

パワフルな表形式ビューと検索機能でコース設計にかかる時間を節約

すべての言語と脆弱性カテゴリのコース情報を1つのビューでアクセスできるようになり、様々な開発チーム向けのコースを素早く簡単に作成できるようになりました。

新しい表形式ビューにより、コンテンツの概要を一目で確認したり、詳細を掘り下げたりすることが簡単にできます。また、コースコンテンツは言語や脆弱性のカテゴリ別にグループ化され、各グループレベルでアクティビティタイプ、難易度などの詳細が追加されたため、簡単にナビゲートできるようになりました。

検索機能を使用したり、フィルターを適用したりして、注目したい詳細に絞り込むこともできます。さらに、テーブルデータを別のアプリケーションにエクスポートしたり、すべての行またはフィルターされた行を CSV ファイルにエクスポートしてさらに分析することも可能です。

‍

一括アクションで、少ないクリックでより多くのことを実現

すべての言語に変更を適用する代わりに、1か所でコースを一括変更できます。一括アクションにより管理者は時間を節約でき、開発者は適切なコース体験を設計するという重要なことに集中できます。

新しい一括アクションには次のものが含まれます。

• OWASP Top 10やすべての言語の特定の脆弱性カテゴリなど、コースフォーカスを追加
• コースに言語を追加してコンテンツをすばやく更新する
• 選択した行またはすべての行のモジュールをコピー、ロック、またはロック解除
• コースから言語またはモジュールを削除する
• ウェルカムメッセージとコース終了メッセージをすべての言語で一度に設定できます

‍

コース終了時の評価経路

これで、コース終了時の評価を各言語に合わせて調整し、1つのビューから管理できるようになりました。

言語とコースタイプに基づいてカスタマイズされた評価経路を簡単に作成し、コース修了時にスキルを測定および評価できます。

新機能への早期アクセス

‍

以前は、どのような新機能がリリースされるのかを知り、一般公開前に試してみたい場合は、カスタマーサクセスマネージャーに相談し、私たちのチームが機能を有効にするまで待つ必要がありました。

これで、管理タブで切り替えるだけで、チームでいつ、どの機能を有効にするかを制御できます。もう待ち時間は必要ありません。

行くだけです 管理 > もっと > アーリーアクセス 試してみるために

この機能は、より多くの機能、特にユーザーエクスペリエンスに大幅な変更を伴う機能に利用され、エクスペリエンスをより適切に制御できるようになります。

早期アクセスにはどのような機能があるのか知りたいですか？現在のオプションをいくつかチェックしてみてください。

改善されたホームページによる統一されたエクスペリエンスのためのビュー

コースの最新情報:

1. プレビューステータスモード
2. コースコンテンツの一括アクション
3. グローバルウェルカムメッセージ
4. コース終了時のアクティビティの改善

現在、会社の管理者は早期アクセスオプションを利用できます。

新しくリリースされたトレーニングコンテンツでABAPアプリケーションを保護する

これで、ABAPでコーディングする開発者が、非常に魅力的で関連性の高いセキュアコーディングトレーニングの楽しみに参加できるようになりました。この新しいトレーニングは、開発者がセキュアコーディングスキルを向上させ、ABAPコードの脆弱性を減らすのに役立ちます。

Secure Code Warriorのコーディングチャレンジとミッション（ハンズオンラボ）では、以下の内容をカバーするプログラムを提供できます。

1. 開発者が必要な時にいつでも受講でき、自分のペースで進められるトレーニング
2. コンプライアンス、セキュリティフレームワーク、または開発者のスキルレベルに合わせた対象を絞った学習経路
3. 楽しいコーディングコンテスト
4. セキュアコーディング能力評価

ABAPトレーニングコンテンツの詳細については、こちらをご覧ください。

------

セキュア・コード・ウォリアーを試してみたいけれど、まだアカウントをお持ちでないことはありませんか？今すぐ無料トライアルアカウントにサインアップして、今日から始めましょう。

以上が今月の新機能のまとめです。Twitterのセキュアコードウォリアーをフォローして、最新のリリースや改善点に関する最新情報を入手してください。

ソフトウェアの脆弱性が後回しにされたり、技術革新の妨げになったりすると、企業はデータ漏洩や風評被害、高額な法的責任への扉を開いてしまう。サイバー攻撃は、より強力な開発手法を用いれば防げたかもしれないコードの弱点を悪用することが多い。

セキュアコーディングは、開発の各段階にセキュリティ原則を組み込むことで、こうした課題に対処します。開発者は、脆弱性が発見されてから修正を実施するのではなく、インジェクション攻撃やクロスサイト・スクリプティング（XSS）などの一般的な脅威に対する保護を組み込んだコードを記述します。ここでは、セキュアコーディングが、信頼性の高い高品質のソフトウェアを提供しながら、企業のリスクを低減し、ユーザーの信頼を守り、規制要件を遵守する上でどのように役立つかを詳しく見ていきましょう。

セキュアコーディングとは？

セキュアコーディングとは、潜在的な脆弱性に対処するためにソフトウェアを記述する際に、セキュリティのベストプラクティスに従うという原則である。セキュアコーディングでは、セキュリティを開発の個別のフェーズとして扱うのではなく、初期の段階から実績のある安全策を統合し、開発者がコードセキュリティのオーナーシップを持ち、それを効果的に適用するスキルを身につけるようにする。

Open Worldwide Application Security Project（OWASP）やSoftware Engineering Institute（SEA）のCERT Division（CERT部門）のような組織によって作成された公認のセキュアコーディング標準は、攻撃者が悪用する一般的な落とし穴を回避しようとする開発者にとって、北極星のような役割を果たすことができる。これらの戦略を既存のワークフローに安全に実装するために、基礎的で実践的なセキュアコーディングスキルを継続的に積み重ねることは、今日のサイバーセキュリティの状況において譲れないことである。例えば、できるだけ多くのユーザー入力を検証することで SQL インジェクション攻撃を防ぐことができ、出力エンコーディングは XSS をブロックするのに役立ちます。これらやその他の安全なコーディングの実践は、侵害のリスクを低減し、進化するサイバー脅威に耐えることができる、より弾力性のあるアプリケーションにつながります。

なぜセキュアコーディングが重要なのか？

成功したサイバー攻撃の多くは、開発中に防ぐことができた脆弱性を悪用しているため、安全なコーディングは重要です。最初からセキュアな実践を優先することで、攻撃者がデータの漏洩や業務の妨害に利用できる欠陥を導入する可能性を減らすことができます。ソフトウェア開発ライフサイクル（SDLC）の各段階にセキュリティを組み込むことで、すべての機能、更新、統合が保護を念頭に置いて設計されるようになります。

開発中にリスクに積極的に対処することは、緊急パッチやダウンタイム、インシデント対応リソースを必要とするような導入後にリスクを修正するよりもはるかに低コストです。また、データ保護規制へのコンプライアンスも向上し、潜在的な罰金や法的課題を回避することができます。また、セキュアコーディングの実践は、消費者の企業に対する信頼を育み、強力なセキュリティをブランドの評判の一部にします。

一般的なコードのセキュリティ脆弱性

セキュアコーディングは、攻撃者が悪用する最も頻繁で危険な脆弱性に加え、AIコーディングツールの使用に伴うような新たな脅威ベクトルを防ぐことを目的としています。ここでは、いくつかの一般的な脆弱性の概要と、それらが引き起こす可能性のある被害、そしてセキュアコーディングがどのようにそれらを軽減するのに役立つかについて説明します。

デシリアライズの欠陥

デシリアライズの欠陥は、アプリケーションが適切な検証を行わずに外部ソースからデータを受け入れ、処理した場合に発生します。シリアライゼーションは、オブジェクトを保存または送信できる形式に変換し、デシリアライゼーションは、それらのオブジェクトを使用できるように再構築します。デシリアライズの欠陥の影響は深刻で、任意のコードの実行や特権の昇格につながる可能性があります。セキュアコーディングでは、信頼され検証されたデータのみがデシリアライズされるようにし、信頼されていない入力のネイティブなデシリアライズを可能な限り完全に避けることで、この問題に対処します。

インジェクション攻撃

インジェクション攻撃は、攻撃者がアプリケーションのコマンドやクエリの一部として解釈される入力を提供した場合に起 こります。最もよく知られたタイプは SQL インジェクションで、悪意のある SQL 文がクエリに挿入され、データベー スの内容にアクセスしたり、内容を変更したりします。その他のタイプには、攻撃者が任意のコマンドを実行するコマンドインジェクションや、LDAP（Lightweight Directory Access Protocol）インジェクションがあります。インジェクション攻撃の結果は、不正なデータアクセスや削除からシステムの完全な侵害まで、多岐にわたります。インジェクション攻撃がもたらす結果は、データへの不正アクセスや削除からシステムの完全な侵害まで、多岐にわたります。セキュアコーディングは、パラメータ化されたクエリやプリペアドステートメントを使用し、処理される前に信頼できないデータをエスケープし、厳密な入力検証を実施することで、インジェクションの脆弱性を防ぐのに役立ちます。これらや他の安全なコーディングの実践は、攻撃者がアプリケーションの意図した振る舞いを変更するのを阻止することができます。

クロスサイトスクリプティング（XSS

クロスサイト・スクリプティング(XSS)は、他のユーザが閲覧するページに悪意のあるスクリプトを挿入することで、ウェブ・アプリケーションを標的にするインジェクション攻撃の一種です。これは通常、アプリケーションの出力に検証されていないユーザ入力が含まれる場合に起こります。他のユーザのブラウザがそのページを表示すると、悪意のあるスクリプトが実行され、クッキーを盗んだり、キー入力をキャプチャしたり、悪意のあるサイトにリダイレクトしたりする可能性があります。

XSSの影響には、セッションのハイジャックや個人情報の盗難などがあります。企業にとって、これは顧客の信頼を損ない、機密データが漏洩した場合には規制上の問題に発展する可能性があります。セキュアコーディングでは、ユーザーが提供するすべての入力を表示前にサニタイズおよびエンコードし、出力を自動的にエスケープするフレームワークを使用し、コンテンツセキュリティポリシー（CSP）を実装して実行可能なスクリプトを制限することで、XSSに対処します。

アクセス制御

アクセス・コントロールの脆弱性は、ユーザが何を見たり、何をしたりできるかについてのルールが適切に定義されたり、実施されなかったりする場合に発生します。壊れたアクセス・コントロールによって、攻撃者は意図されたユーザーの役割の制限を迂回し、潜在的に機密データを読んだり、記録を変更したり、特権ユーザーのみに意図されたアクションを実行したりすることができます。

アクセス制御の問題は重要な課題であり、特にAIコーディングツールはこの脆弱性クラスに効果的に対処するのに苦労しており、開発者のスキルと意識の必要性を浮き彫りにしている。アクセス制御が破られた場合の影響は大きい。例えば、攻撃者が管理者専用の機能にアクセスできれば、セキュリティ設定を無効にしたり、個人情報を抜き取ったり、他のユーザーになりすましたりすることができる。

セキュアコーディングプラクティスは、すべてのリクエストに対してサーバサイドの権限チェックを強制し、最小特権の原則に従い、セキュリティ対策として不明瞭さ（リンクの非表示など）のみに依存することを避けることで、これらのリスクに対抗します。さらに、厳密なアクセス制御テストを実施することで、これらの保護が長期にわたって強固に維持されるようになります。

クロスサイト・リクエスト・フォージェリ（CSRF）

クロスサイト・リクエスト・フォージェリ(CSRF)攻撃は、ユーザが認証されている別のサイトで、望まないアクションを実行させます。例えば、送金、メールアドレスの変更、アカウント設定の変更などです。この攻撃が機能するのは、ブラウザが偽造されたリクエストに、クッキーのような有効な認証トークンを自動的に含めるからです。

セキュアコーディングでは、各ユーザセッションに固有のアンチ CSRF トークンを実装し、状態を変更するリクエストごとにそれを検証することで、CSRF を防御します。その他の防御策としては、重要なアクションには再認証を要求したり、クッキーに SameSite 属性を設定してクロスサイトリクエストで送信されないようにしたりします。これらの防御を開発ライフサイクルに組み込むことで、システムが正当で意図的なアクションのみを処理する可能性をより高くすることができます。

安全でない認証

安全でない認証は、ユーザの ID を検証するプロセスが弱い、予測可能である、またはその他の欠陥 がある場合に発生する。これは、不十分なパスワード・ポリシー、安全でないクレデンシャル保管、または多要素認証 （MFA）の欠如によって生じる。攻撃者は、ブルートフォース攻撃、クレデンシャル・スタッフィング、伝送中の暗号化されていないクレデンシャルの傍受など、さまざまな方法でこれらの弱点を突くことができる。安全でない認証の影響は、攻撃者がユーザー・アカウント、管理コントロール、機密データに直接アクセスできるようになるため、深刻です。いったん内部に侵入すると、さらにシステムを侵害したり、貴重な情報を持ち逃げしたりする可能性がある。

セキュアコーディングは、強力なパスワード要件の強制、保存されたクレデンシャルのハッシュ化とサ ルティング、すべての認証交換にHTTPSのようなセキュアなプロトコルの使用、検証の追加レイヤ ーを提供するMFAの統合によって、この脆弱性に対処する。開発者はまた、失敗した試行を制限し、不審な活動を早期に検出するようなログイン・メカニズムを設計し、認証システムが弱点ではなく強力な防御線として機能するようにする必要がある。

守るべき6つのセキュア・コーディング・プラクティス

安全なソフトウェアを構築するには、どのような脅威が存在するかを知るだけでは不十分です。実績のある安全なコーディングの実践とパターンを学び、取り入れることが必要です。以下のテクニックは、セキュリティをすべてのプロジェクトに不可欠なものにするために、開発者が実行可能なステップを提供する。

1.ユーザーアクセス制御の実装

上述したように、ユーザ・アクセス・コントロールとは、システム内の各ユーザ・ロールに権限を定義し、実施することを意味します。強力なアクセス・コントロールは、権限のないユーザーによる機密データの閲覧、記録の変更、管理操作の実行を防止します。また、ユーザー・アカウントが侵害された場合、攻撃者はそのアカウントの権限しか持たないため、被害が限定されます。 

効果的なユーザー・アクセス・コントロールには、身元を確認するための強固な認証と、認証されたユーザーが要求されたアクションを実行する権限を持っていることを確認する権限チェックが必要です。最小特権の原則に沿うように、アクセス・コントロールの慣行を定期的に見直し、ユーザが業務を遂行するために必要な最小限のアクセス権しか与えないようにする必要があります。アクセス・コントロールはまた、ポリシーとシステム内のユーザーを常に最新の状態に保つための定期的なモニタリングと、異常なアクティビティに素早くフラグを立てる監査に依存しています。

2.データの検証とサニタイズ

データの検証およびサニタイズには、処理前に、すべての入力が期待されるフォーマット、タイプ、パターンに適合していることを確認し、潜在的に危険なコンテンツを削除するためにデータをクリーニングすることが含まれます。これらのプラクティスは、どのような外部ソースからの入力データにも適用されるべきである。なぜなら、信頼できるソースでさえも危険にさらされる可能性があるからである。バリデーションとサニタイズを開発プロセスに組み込むことで、インジェクション攻撃のような一般的な脅威に対してアプリケーションを強く保つことができます。

3.現代語で書く

セキュアなコーディングとは、コードの書き方だけではありません。また、そもそもセキュリティ上の欠陥が生じないようなツールや環境を選択することでもあります。最新の言語に完全に移行することは、多くの企業にとって現実的で効率的な選択肢ではないことが多いものの、少なくとも最新のプログラミング言語をある程度使用し、選択したすべての言語の最新バージョンを使用することで、ソフトウェアのセキュリティを向上させることができます。最新の言語やフレームワークは、通常、より優れたメモリ安全性、より強力な型チェック、一般的な脆弱性に対する組み込みの保護を提供する。例えば、RustやGoのような言語は安全性を念頭に設計されており、古い言語が陥りやすいバッファオーバーフローのような問題を防ぐのに役立っている。

JavaやPythonのような確立された言語は、モダナイズやセキュリティの確保が難しい場合がありますが、最新のリリースに対応することで、最新のセキュリティ機能やパフォーマンスの改善にアクセスできるようになります。多くのアップデートは、既知の脆弱性にパッチを当て、安全でない関数を廃止し、より安全なデフォルト設定を提供します。 

4.コードの難読化

コードの難読化とは、ソースコードやコンパイルされたコードを、攻撃者が理解したり、リバースエンジニアリングしたり、操 作したりするのを難しくするプロセスです。難読化は、他のセキュリティ対策に取って代わるものではありませんが、アプリケーションのロジックや機密ルーチンを詮索好きな目から隠すことで、防御のもう一つの層を追加します。難読化には、変数や関数の名前を無意味な識別子に変更したり、コードを追跡しにくくするような方法でコードを再構築するような技法が含まれます。

目標は、攻撃者が脆弱性を発見し、悪用するために必要なコストと労力を上げることです。セキュアコーディングでは、難読化は他の強力なセキュリティプラクティスと一緒に機能し、あなたのアプリケーションを魅力的な ターゲットではなくします。

5.コードをスキャンして監視する

安全なコーディングの実践には、コードを積極的にスキャンし、監視することも重要です。静的アプリケーション・セキュリティ・テスト（SAST）ツールは、配備前に既知の脆弱性についてソースコードを分析し、動的アプリケーション・セキュリティ・テスト（DAST）ツールは、実行中のアプリケーションに悪用可能な欠陥がないかリアルタイムでテストします。両方のアプローチを組み合わせることで、早期に継続的に問題を発見することができます。

開発時にスキャンするだけでなく、運用時に継続的な監視を実施することが重要である。これには、異常なアクティビティに対するアラートの設定、セキュリティ・イベントのロギング、攻撃をリアルタイムで検出してブロックするためのランタイム・アプリケーション・セルフプロテクション（RASP）ツールの活用などが含まれる。定期的なスキャンと監視を行うことで、開発中に脆弱性がすり抜けたとしても、重大な被害が発生する前に迅速に対処できる可視性が確保される。

6.安全なコーディング標準を文書化し、実施する。

セキュアコーディング標準を文書化することは、あなたのチームがどのように安全で、保守可能で、準拠したコードを書くかを定義する明確な一連のガイドラインを作成することである。これらの標準は、入力検証、エラー処理、暗号化の実践、セッション管理のようなトピックに加え、あなたの技術スタックに特有の一般的な脆弱性への対処方法もカバーする必要がある。

このような標準を整備することで、若手エンジニアから上級アーキテクトに至るまで、すべての開発者が同じセキュリティ原則に従うことが保証される。これらの標準は、トレーニングや定期的な更新と組み合わせることで、開発プロセスを最新のセキュリティ要件に適合させ続ける生きたリソースとなる。

セキュアコーディングの標準とフレームワーク

独自のコーディング標準を作成する際に助けをお探しなら、以下の一般的なガイドラインが役立ちます。これらのガイドラインは、一般的な脆弱性に対処するためのさまざまなプラクティスをカバーしており、業界のベストプラクティスにコーディングの取り組みを合わせる方法を明確にするのに役立ちます。

OWASP セキュアコーディングの実践

OWASPは、セキュリティを最初から最後までコードに組み込むことを望む開発者にとって、最も広く認知されている情報源の1つである。OWASPは、OWASP Developer GuideやOWASP Top 10 のような主要なセキュアコーディングリソースを作成している。OWASP のアプローチは非常に実用的であり、開発者が開発中に適用できるチェックリストやコーディングのヒントを提供している。

OWASPガイドラインに従うことは、プロジェクト全体でセキュアなコーディングのための共通のベースラインを作成することにより、チームに利益をもたらす。OWASP は、新しい脅威ベクトルや攻撃テクニックを反映するために定期的に更新されるため、組織はこれを利用して、新たなリスクに先手を打つことができます。OWASPの原則をワークフローに組み込むことで、コード品質を向上させ、脆弱性を減らし、広く受け入れられている業界のガイドラインに合わせることができます。

NIST セキュアソフトウェア開発フレームワーク

米国国立標準技術研究所（NIST）は、より広範なサイバーセキュリティフレームワークとともに、包括的なセキュアコーディングガイダンスを発行しています。NIST セキュアソフトウェア開発フレームワーク（SSDF）は、高レベルのセキュアソフトウェア開発プラクティスに関する情報を提供するだけでなく、社内のチーム間およびチーム間の重要な問題に関するコミュニケーションを改善する共通の語彙を提供します。このフレームワークは、具体的な技法よりもむしろ成果に重点を置いているため、OWASP や SEI CERT Coding Standards のような他の標準を補完するものとして最適である。

SEI CERTコーディング基準

ソフトウェア工学研究所（SEI）の CERT 部門によって開発されたSEI CERT コーディング標準は、C、C++、Java、Perl を含む特定のプログラミング言語のセキュリティ脆弱性の防止に焦点を当てています。各言語固有の標準は、安全なコーディング規則、詳細な説明、および準拠コードと非準拠コードの両方の例を特徴としています。CERT コーディング標準は、特定のプログラミング言語のニュアンスや癖に対処しているため、これらの環境で作業する開発者にとって非常に価値があり、実行可能です。

マイクロソフト セキュリティ開発ライフサイクル

マイクロソフト社のセキュリティ開発ライフサイクル（SDL）は、セキュリティがソフトウェア開発プロセスの不可欠な一部となるように設計された一連の実践方法である。これには、脅威のモデル化、開発者向けのセキュリティトレーニング、ソフトウェアサプライチェーンの安全確保など、10の重要なトピックに関する推奨事項が含まれている。マイクロソフト社自身もこのアプローチを採用しているため、組織は、開発者、テスター、セキュリティチームが連携するテスト済みのプロセスから利益を得ることができる。

ISO/IEC 27001

ISO/IEC 27001は、情報セキュリティマネジメントシステム（ISMS）の規格として最もよく知られていますが、セキュアコーディングにも強い意味を持っています。ISO/IEC 27001 は、組織全体の ISMS を確立することに重点を置いていますが、セキュアコーディングに関する原則も含んでいます。これらの勧告は、セキュアコーディングの実施に取り組む際に、組織が従うことができるハイレベルなガイダンスを提供します。

AIセキュリティ・ルール

AIコーディングツールはかつてないほど便利になりましたが、安全で正確なコードを作成できなければ、かえって害になることもあります。Secure Code Warrior AIセキュリティルールは、この種のものとしては初めて、GitHub Copilot、Cline、Cursor、WindsurfなどのAIツールで使用する安全なコーディングのベストプラクティスに関するガイダンスを提供します。これらのルールは、AIコーディングアシスタントを軌道に乗せ、安全でないコードのリスクを最小限に抑えるガードレールを設置します。

最初から安全なコードを作成する方法を学ぶ

セキュアコーディングは、単なる技術的要件ではなく、ビジネス上の重要な利点です。チームが最初からセキュアなコードを記述すれば、コストのかかる脆弱性を防ぎ、データ漏洩のリスクを低減し、顧客が信頼できるソフトウェアを提供できます。しかし、セキュアコーディングのプラクティスをマスターすることは、構造化されたガイダンスなしでは特に困難です。開発者は、実世界での実践、進化する脅威に関する最新の知識、そして、コードのすべての行で自信を持ってセキュリティ原則を適用する方法を必要としています。

Secure Code WarriorISO 27001認証およびSOC 2準拠のアジャイルlearning platform、貴社のチームにまさにそれを提供します。言語固有のセキュリティのベストプラクティスに関するトレーニング、現実的なコーディング課題、さまざまな役割のために作成されたコンテンツにより、セキュリティは後回しにされがちでしたが、開発プロセスの自然な一部となります。開発者は、早期に脆弱性を特定して修正するスキルを身につけ、業界標準に準拠し、ソフトウェア開発ライフサイクル全体を通じてコードセキュリティの完全なオーナーシップを持つことができる。Secure Code Warrior 使用している企業が、ソフトウェアの脆弱性を53%削減し、最大1,400万ドルのコスト削減を実現し、開発者の92%が追加トレーニングを希望していることは驚くことではありません。

チームが初日から、より安全で強力なコードを書く方法を知りたい方は、 Secure Code Warrior デモを今すぐご予約ください。

Secure Code Warrior 私たちは、常に変化し続ける今日のセキュリティ課題に取り組むための適切なスキルを開発者や組織に提供できるよう、常に革新を続けています。私たちは、セキュアコーディングのためのアジャイルなlearning platform 、開発者が望む方法で学習できるようにし、今日の業界で最も完全で信頼性の高い脆弱性コンテンツを提供します。  

この四半期、Secure Code Warrior は、SCIM プロビジョニングによるユーザー管理をよりシンプルにするだけでなく、企業の管理者がtournaments を複数のブランドや事業体に拡大するための新しい方法を実装しました。また、新しいコーディング・ガイドラインがJiraで利用できるようになったこと、パフォーマンスの概要レポートや新しいプログラム・ワークフローがプレビューで利用できるようになったことを発表できることを嬉しく思います。 

もっと詳しく知りたい方は、こちらからどうぞ

SCWプラットフォームの幅と奥行きの拡大 

Secure Code Warrior新しいコンテンツへの継続的な拡大により、当社のモジュールは常に適切かつタイムリーで、今日のサイバーセキュリティの状況で知っておくべきことに合わせて調整されています。業界をリードする60以上の言語の広さと深さにより、多数の言語とフレームワークを使用する開発者のためのアジャイル学習プログラムを簡単に構築し、拡張することができます。 

利用可能になりました：Jiraのコーディングガイドライン 

Jira 統合にガイドラインを追加することで、開発者はセキュリティ緩和をカバーする文脈的な学習を行うことができます。ガイドラインは、ビデオよりも詳細で、特定の言語やフレームワークに焦点を当て、開発者が問題をより迅速に解決するためのコードスニペットを提供します。ビデオや課題へのアクセスに加え、開発者は Jira 課題でコーディングガイドラインを直接読み、詳細な改善アドバイスにアクセスできるようになりました。

利用可能になりました：新しいフロントエンド開発者向けコンテンツ 

フロントエンド開発者も、セキュアなコードの有効化を必要としています！そのため、Missions と Walkthroughs にフロントエンドの脆弱性を追加リリースしました。フロントエンド開発者は、Courses を通して、フロントエンド特有のMissions にもアクセスできるようになります。 

これらのアップデートは、DOM ベースの XSS のような一般的な脆弱性から、CSS インジェクションのような遭遇頻度の低い脆弱性まで、フロントエンド特有の脆弱性を包括的にカバーするよう努めています。 ステップバイステップのウォークスルーは、フロントエンド開発者に、脆弱性がどのように悪用されているかについての信頼できるガイダンスを提供し、より高度な開発者はTournaments でフロントエンドMissions のスキルをテストすることもできます。 

セキュリティ文化を拡大するエキサイティングな新しい方法 

発売開始マルチカンパニーTournaments 

‍

複数の事業体、子会社、パートナー、および他の会社の開発者間で切磋琢磨できるように、マルチカンパニーTournaments を作成できます。これにより、セキュアなコーディング文化が、組織全体とその複数のブランドにわたって拡張できることが保証される。  

究極のマルチカンパニーTournament に参加しませんか？第3回Devlympicsに登録- SCWがサイバーセキュリティ啓発月間にグローバルで開催するtournament ！すでにご登録済みのお客様は、プラットフォームからご登録いただけます。 

管理者と開発者の体験をシンプルにする

利用可能になりました：コースのフィルタリング 

コース管理ページで追加フィルタを適用する機能により、管理者は作業したいコースを絞り込むことがより簡単になります。Courses 、ステータス、終了日、登録チームなど、いくつかの属性でフィルタリングすることができます。

利用可能になりました：SCIMでSCWライセンスを管理 

これにより、プログラム・オーナーや企業の管理者は、開発者をプログラムによって大規模に管理し、アクセス制御が常に最新であるという確実性を享受することができる。

SCIM プロビジョニングは、ID プロバイダを使用して、Secure Code Warrior へのアクセスを同期します。これらのタスクを自動化することで、正確性、セキュリティ、およびコンプライアンスを確保し、ユーザをプロビジョニングする際の時間とリソースの両方を節約します。現在、SCW は SCIM プロビジョニングをユーザー・レベルでのみサポートしており、SCIM グループについてはまだサポートしていません。

プレビューでご覧いただけます：プログラム・ワークフロー

 スケーラブルで魅力的なセキュアコード教育プログラムの構成は、プラットフォームの主要なユーザビリティの改善により、これまで以上に簡単になりました。プログラムは、courses と複数レベルのプログラムへの評価のシーケンスを通じて、学習者により多くのガイダンスを提供するために作成されました。自動化されたプログラムワークフローは、プラットフォームでプレビューを有効にしたお客様にご利用いただけるようになりました。プログラム・ワークフローは、開発者がどこから始めればよいかを確実に把握し、次に何が必要かをナビゲートし、安全なコード学習プログラムのさまざまなレベルを簡単に移動できるようにします。また、企業の管理者は、プログラムの設定、管理、開発者に次の学習アクティビティを完了するよう促すことに費やす時間を短縮することができます。 

あなたの組織でセキュアなコード学習を開始する方法について、ヒントが必要ですか？セキュリティ目標を達成するためのプログラムの構成方法について、当社のハンドブックをお読みください。 

レポーティングとプログラムインサイト

プレビューでご覧いただけます：パフォーマンス概要 

会社の管理者として、組織全体の活動を監視する必要性は、開発者の参加を理解し、安全なコード学習プログラムの成功を測定するために非常に重要です。私たちは、会社の管理者がレポートから最も実用的な洞察を得られるように、強化されたレポートインターフェイスを構築しました。

パフォーマンス概要では、開発者のコースおよびassessment の完了状況、および長期的な平均精度を把握することができます。また、このレポートでは、業界ベンチマークが作成され、選択したassessment の業界平均assessment スコアとの比較も確認できます。 

このシンプルかつ強力なレポートは、2024年に向けて計画されているSecure Code Warriorの一連の洞察と指標の始まりを告げるものである。 

Secure Code Warrior を試してみたいが、まだアカウントをお持ちでないですか？今すぐデモをご予約ください。 

今期の新機能については以上です！LinkedInとX（旧Twitter）で Secure Code Warrior をフォローして、最新リリースと改良点に関する最新情報を入手してください。

‍

‍

大は差万人、けいおかず、M.WateromomokadeffizaCherm。Dingerol325hingnovzinzzinzzza、coの75% は新生、gawingingingingbwwizappSecinginginginzinaginza。

315knsは、チャベールでもでもめちゃくちゃなさいビービーク。世代、だいすいすいすいすいすは、おまけにしろ、おまけにしろ、おおむねえ、おまけにしろアイビーエム「データ漏えいっす 2022」)。開発者、Techonamenrexum222AOのめめめめめも、新成成成成成成成成成とずずずるずずず。

セキュア・コード・ウォリアー、生、定、、もしも、そのとおりりりりりりりりりりりりだ。

この前和は、コーディングラボ（福で第一）、新品同然であるがゆえに、LMS SCORMMVICALINEZZINE、SCORMVICALIZZINE、（それら、それまでも、しかも、しかも、そのとおりならず。

さそくを

新年新生 — 新たな学び

新品（ベルンプ型プモサート2022）、キム40％が全開でいつも通り良好。コーディング・ラボ、慣習習生IDE CON、メディルチンとフィラビラミンズディンガルワライン、ダーヴィチャルウィンガルズで構成される。そして、チンwwwulatingでも見事に。

デロロパーは、ポワニでイイラカ「ピーカピーカ」のガイガイニニニニニニニス、SPORKINESTURBADでかみ合いでもかみっつりかええり。コーディングラボ、は erfulabulisyぎ、linovalusceonagdensecour。

SCWpringは、wchewknalkinalmelémciyo、親和性、一大でみずみずみずし、wchyvéwultcharn。コーディング・ラボ（Coding Labs）は、Dingingulalalulkuさん、．．．

コーディング・ラボスは1975年に設立された。SCWの、

SCWのチャノク、コーディングラボラボアールムニニザギギギクー。きに。

SCWにて、うしかみさいび、コーディングラボズ新作。オンライン・バイキング・シーきに。

2XPSTのChrome LMSとの統合

近日ぶだらけのSCWそして、だんぐんぎりぎょう、みずからずいぶんぐんぐんぐらい。

アイズジディマイブフタ、SCORMはぎりぎりぎりぎらぎら。 そしてemusi盛大で。ザザスコーム、ULMULULULULDULUX、新星システム (LMS) でざくざくら。

新スコーム LMS

• FAINXPSTのLMS8BTWICAMAV、新年のおばあさん
• と

‍

彼SCORM APKARAは、SAPサクセスファクターズ、SAPサクセスファクターズ、ワークデイ、コーナーストーンなどに対応しています。

LMS SCORM5は、10月9日（月）、INSTAREDA。

SCW 幅と深拡大

セキュア・コード・ウォリアー、新しいコンテンツへの応用、うーん、うおかしくなじみぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎぎら。55 15 15 番で成成成成とみだるるま、ぎゃくと金で成成成成成成成成成成成成成成成成成成成成成成成成成成長。

でABAP

解放する春は、6歳の新春と14歳で、ABAPAGでは新春でも新春春でもっともっと本気でしたっけ。

新しい金と時々、金で実に効く

セキュア・コード・ウォリアーは、ダグダダザザでサビレツツキチョウ、XisorVollcenytorCarinatorJarinoの。現在、SCW、SCW のようなつるつるしろからそれまで来た。

• 33のRPGチャレンジ、チャポントリセイ
• RPGで大成成で
• パイゴパンゴダイ 10種

新人・銀座で流れ、。

産業と新年文化化

命は真っ黒な蜜で、いずれ、一緒にみるみるぎぎぎぎる。

公開されたコースを簡単に編集

新種で、新種で、吹奏と水YuMag..ionis、Greed.jdaShZuZURNA。、そのとおり「チャとナナナダと大会。

つい。

• 公開されたコースに新しい言語を追加する
• ザインとクンプン
• 第13回ききり/新/
• はは、

ホームみみとみらし

新しいホームに「続行」というものがある。「だめだ」、「たいた」、「だめだ」また、ホームホームズウィウィズモウニダダダダフリンリント。

ちっ、レスしようか、実は、実は、ごめんなさい、ごめんなさい、かぐらぶらぶらぶらぶらです。

‍

ひらも、アーリーサーズズズズズズで金メダル。SUV.JEJは、すいすがた。

インクルブでシイズアザカズラ

Secure Code Warrior、レクチャーコードウォリアー、リースクとコールドケークの大作、付録め、ごめん、ごめんなさい、ごめんなさい、ごめんなさい、ごめんなさい。、本来なら、本来初めてミミミミミケ、新生、進進行、それまでの、セブルシブルチャノキカカカササササカササイ。

字字字で

本来ならば金魚字、、真に。

鮮やかな通貨、金字幕付き連字はさておき。

2022年10月5日

もっと新しいこと？2022年10月5日、プロダクト・トーク・ウェビナーで、「もし、」

気に。

ゆうあんコ・ウォンダリンリンさん、那那様だって？にしぶしろ しらじん。

うわー、今新鮮、めっちゃかつ。ホロー ツイッターのストレーク・ウォアー大賞と点大賞賞の獲得。

安全でないコードは、企業にとって何百万ドルもの損失となります。では、安全なコーディング手法の採用を妨げるものは何でしょうか？ 

あらゆるものがソフトウェアに依存している世界では、 コードの安全性を確保することが重要です。ブランドの評判や財務的な存続は、それにかかっています。しかし、安全なコーディングには多くの懸念事項があり、その完全かつ効果的な導入には多くの障壁があります。これまで以上に、新しい働き方が求められています。そこで、2020年に、Secure Code Warrior は、Evans Data Corp.と協力して、開発者とそのマネージャーのセキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する意識についての一次調査*を実施しました（ホワイトペーパーをダウンロードしてください。 ここで).

現在、組織は安全なコードを実践することが難しい状況にあります。開発者も管理者も同様に、脆弱性への対処やコードへの責任を特に懸念しています。

明らかに、より良いトレーニングと、セキュアコードの実践をサポートするプログラムが必要です。このニーズは、開発者とそのマネージャーにセキュアコーディングに関する懸念を尋ねると明らかになります。私たちの調査*によると、この2つのグループは同じ基本的な関心事を共有しています。しかし、それぞれの役割が異なるため、どの懸念が最も緊急性の高いものであるかは異なります。  

開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。 

開発者にとって2番目に大きな関心事は、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアコードについて学ぶことが難しいという事実もあり、セキュアコードのトレーニングには新しいアプローチが必要であることを改めて実感しました。 

一方、マネージャーは、トップダウンで物事を考えます。 

チームのマネージャーやリーダーは、コードに責任を持つことを第一に考えます。もし、チームがお粗末なコードを作ってしまったら、その責任はマネージャーにあります。 

2位は「過去の脆弱性を再現するコード」。そして、学習プロセスが困難であることが3番目に挙げられています。現在のセキュアコードトレーニングのアプローチが有効でないため、管理者は新しいアプローチが必要であることを認識しています。 ‍

安全なコーディング方法を採用する上での障壁

セキュアコーディングを導入する上での障壁をマネージャーに尋ねたところ、「コミュニケーション」と「トレーニング」という2つの点がはっきりと浮かび上がってきました。 

45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%は、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。 

セキュア・コード・プラクティスを組織全体でうまく採用するには、プロセスや人事面での障壁があります。 

しかし、そのような難解な問題があっても、前進することはできます。新入社員にセキュアコーディングのスキルがないことや、トレーニングやリソースが不十分であることは、対処が容易です。 

開発者は、脆弱性を阻止するための最前線にいます。しかし、開発者は、セキュリティ対策の一環として、サポート、ツール、トレーニングを受けているでしょうか？

彼らの懸念に基づいて、短い答えは「いいえ」です。 

実は、適切なトレーニングは、講義のように感じるべきではありません。 

セキュアコーディングの変革者として、Secure Code Warrior は、開発者が積極的に学習し、セキュアコーディングのスキルを身につけることができるよう、人間主導のアプローチをとっています。実績のあるLearning Platform は、開発チームとセキュリティチームに、それぞれが好むワークフローの中で、文脈に沿った、関連性の高い学習を提供します。これにより、脆弱性を発見するだけでなく、脆弱性の発生を未然に防ぐことができるようになります。

このような実践的なトレーニングは、スキルアップの機会であり、脆弱性を阻止し、チームの他のメンバーと協力してより高い水準のコードを作成することに真剣に取り組んでいる開発者にとっては、プラスにしかならないキャリアアップの手段です。

もっと詳しく知りたい方、そしてチームの「左から始める」能力や、セキュリティを犠牲にすることなく安全なコードを迅速に出荷する能力への潜在的な影響を確認したい方は、こちらをご覧ください。 今すぐデモを予約する.

リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020

BSIMM 8がリリースされました。素晴らしいですね。大企業が安全なソフトウェアを作るためにどのようなセキュリティ対策を行っているかを調査した唯一無二の大規模調査です。

この調査は、ゲイリー・マクローの監修のもと、アプリケーション・セキュリティの専門家によって実施されており、収集されたデータが一貫性のある正確なものであること、そして30万人の開発者が日々行っていることへの洞察を与えてくれることを確認しています。最新のプレゼンテーションでは、BSIMMの数字を参照し、平均して100人の開発者に対して2人のアプリケーション・セキュリティの専門家がいると述べました。

しかし、BSIMM4以降はそうなっていません。BSIMM8によると、この数字はさらに少なくなり、開発者100人あたり1.6人となっています。アプリケーション・セキュリティの専門家を増員しても、人材が不足しているため、単純にはうまくいきません。これまで以上に、開発者に、安全なコードを書くためのツールとトレーニングを提供する必要があります。それは、実践的で、すぐに利用でき、組織にとってスケーラブルなものです。

また、このレポートによると、トレーニング業務の中で最も一般的な活動は、全従業員に対する意識向上のためのトレーニングの提供であり、その割合は67%でした。私は、Secure Code Warrior （SCW）で行っているトレーニングに関する活動をマッピングしてみたところ、当社のソリューションは、トレーニングに関する活動のレベル1（ほとんどの企業が行っている）からレベル3（ごく少数の企業が行っている）までの12の活動すべてに当てはまることがわかりました。

1つのソリューションで練習全体をカバーすることができます！12のトレーニングプラクティスのうち、Secure Code Warrior のソリューションで最も興味深いプラクティスは次のとおりです。

• レベル1：啓発活動の実施
• レベル1：オンデマンドの個別トレーニングの提供
• レベル2：トレーニングによるサテライトの強化（SCW測定基準
• レベル3：カリキュラムの進行に応じた報酬（SCWバッジ
• レベル3：ベンダーや外部委託先へのトレーニングの提供（SCWアセスメント
• レベル3：外部ソフトウェアセキュリティイベントの開催（SCWTournament モード
• レベル3：トレーニングによるサテライトの特定（SCWの測定基準

現在のソリューションがこれらのプラクティスに対応していると確信していますか？

11月初旬、ケンブリッジ大学は 「トロイの木馬ソース」と呼ばれる研究を発表しました。この研究は、方向性のあるフォーマット文字を用いてソースコードやコメントにバックドアを隠す手法に焦点を当てています。これらを利用することで、コンパイラが人間のコードレビュー担当者とは異なる方法でロジックを解釈するコードを作成することが可能になります。

この脆弱性は新しいものです。ただし、Unicodeは過去に不正に使用されていました。例えば、ファイルの実際のファイル拡張子を次のように隠すなど、Unicodeが使用されていました。ファイル名の末尾部分の方向を反転させる。最近の調査により、多くのコンパイラがソースコード内のUnicode文字を警告なしに無視する一方で、コードエディタを含むテキストエディタは、コメントやそれに基づくコードを含む行を再配置する可能性があることが明らかになりました。そのため、エディタはコードやコメントを、コンパイラが解析する方法とは異なったり、異なる順序で表示したりすることがあります。コードやコメントを交換する場合でも同様です。

詳細については以下をお読みください。または、Trojan Sourceの模擬ハッキングを試してみたい場合は、無料で試してみてください。パブリックミッションご自身で体験してください。

双方向テキスト

これらのトロイの木馬ソース攻撃の1つは、英語（左から右）やアラビア語（右から左）などの異なる表示順序でテキストをまとめる方法を処理するUnicode Bidi（双方向）アルゴリズムを利用します。方向指定形式の文字を使用すると、グループを再編成したり、文字の順序を表示したりできます。

上の表には、攻撃に関連するBidiオーバーライド文字の一部が含まれています。例えば、

RLI私たちはcに行きますPDI

RLIの略語は右から左に分離。テキストをコンテキスト（PDIで区切られる）から分離します。ポップ・ディレクショナル・アイソレート）、右から左に読み上げます。結果は以下のようになります。

C O D E

ただし、コンパイラとインタプリタは通常、ソースコードを解析する前に、Bidiオーバーライドを含むフォーマット制御文字を処理しません。方向指定のフォーマット文字を単純に無視すると、以下の内容が解析されます。

私たちはcに行きます

古いワインを新しいボトルに？

もちろん、これは太陽の下では目新しいことではありません。これまで、方向指定フォーマットの文字はファイル名に挿入され、その悪質さを隠すためでした。電子メールの添付ファイルが'myspecialexe.doc'として表示されても、RLO（右から左へのオーバーライド）用でなければ、十分に無害に見えるかもしれません。しかし、真の名が「myspecialcod.exe」であることがキャラクターのプレゼントによって明らかになります。

トロイの木馬ソース攻撃は、構文エラーやコンパイルエラーを生成しないため、ソースコードに存在するコメントや文字列に方向形式の文字を挿入します。これらの制御文字はコードのロジックの表示順序を変更し、コンパイラに人間とは全く異なるものを読み取らせます。

たとえば、次のバイトを次の順序で含むファイル。

方向フォーマット文字によって次のように並べ替えられます

方向指定文字が明示的に呼び出されない場合、コードは次のようにレンダリングされます。

RLO は、最後の行で閉じ括弧を開中括弧に切り替えます。その逆も同様です。このコードを実行すると、「あなたは管理者です」という結果になります。管理者チェックはコメントアウトされていますが、制御文字はそれがまだ存在していたかのような印象を与えます。

(ソース:https://github.com/nickboucher/trojan-source/blob/main/C%23/commenting-out.csx)

これはあなたにどのような影響を与えますか？

C、C++、C#、JavaScript、Java、Rust、Go、Pythonなど、多くの言語が攻撃に対して脆弱であり、他にも存在する可能性があります。さて、平均的な開発者はソースコードに方向指定フォーマット文字があることに眉をひそめるかもしれませんが、初心者は肩をすくめて何も考えない方が良いかもしれません。さらに、これらの文字の可視化はIDEに大きく依存しているため、必ず見つかる保証はありません。

しかし、そもそもこの脆弱性がどのようにしてソースコードに侵入するのでしょうか。何よりもまず、悪意のあるコードの寄与が見過ごされてきた、信頼できないソースからのソースコードを使用した場合にこの問題が発生する可能性があります。第二に、インターネットで見つけたコードをコピー＆ペーストするだけで、ほとんどの開発者が以前行ったことがある行為が引き金となる可能性があります。ほとんどの組織は複数のベンダーのソフトウェアコンポーネントに依存しています。そこで、このコードをどの程度完全に信頼し、信頼できるかという疑問が生じます。隠れたバックドアを含むソースコードをスクリーニングするにはどうすればよいのでしょうか。

誰の問題なの？

一方、コンパイラとビルドパイプラインは、一方向が文字列とコメントに厳密に限定されていない限り、複数の方向のソースコード行を許可すべきではありません。文字列やコメント内の方向フォーマット文字は、ポップされない限り、方向転換を行末まで延長する可能性があることに注意してください。一般的に、コードエディタはホモグリフや方向フォーマット文字など、疑わしい Unicode 文字を明示的にレンダリングして強調表示する必要があります。11 月以降、GitHub は双方向の Unicode テキストを含むコードのすべての行に警告記号とメッセージを追加するようになりました。ただし、これらの文字が行のどこにあるかは強調していません。それでもなお、悪意のない方向変更とともに、悪意のある方向変更が忍び寄る可能性があります。

開発者とコードレビュー担当者の認識が不可欠です。そのため、脆弱性を説明するウォークスルーを作成しました。現在、このウォークスルーは Java、C#、Python、GO、および PHP で利用できます。

もっと知りたいなら、私たちを試してみてください。トロイの木馬ソースのシミュレーション（公開ミッション）を実行し、トロイの木馬ソース調査をお読みください。

Java でのシミュレーション

C# でのシミュレーション

PHP によるシミュレーション

GO でのシミュレーション

Python でのシミュレーション

静的解析とは

静的解析とは、アプリケーションを実行せずにソースコードを自動的に分析することです。

プログラムの実行中に分析が実行される場合、動的分析と呼ばれます。

スタティック解析は次のものを検出するために頻繁に使用されます。

• セキュリティ上の脆弱性。
• パフォーマンスの問題。
• 標準への違反。
• 時代遅れのプログラミング構成体の使用。

静的解析ツールはどのように機能しますか？

すべての静的解析ツールに共通する基本概念は、ソースコードを検索し、何らかの警告や情報が関連付けられている特定のコーディングパターンを特定することです。

これは、「JUnit 5のテストクラスは「公開」である必要はない」といった単純なものかもしれません。あるいは、「信頼できない文字列入力が SQL 実行文で使用されている」など、見分けが難しいものもあります。

静的解析ツールは、この機能の実装方法が異なります。

• 抽象構文木 (AST) を作成するためのソースコード解析技術
• テキスト正規表現マッチング、
• 上記の組み合わせ。

テキストでの正規表現マッチングは非常に柔軟で、一致させるルールを簡単に記述できますが、多くの場合、誤検出が多数発生する可能性があり、マッチングルールは周囲のコードコンテキストを認識しません。

AST照合では、ソースコードを単なるテキストで埋め尽くされたファイルではなく、プログラムコードとして扱います。これにより、より具体的かつ状況に応じた照合が可能になり、コードに対して報告される誤検出の数を減らすことができます。

継続的インテグレーションにおける静的解析

多くの場合、静的解析は継続的インテグレーション（CI）プロセス中に実行され、コンプライアンス問題のレポートを生成します。このレポートをレビューすることで、時間の経過とともにコードベースを客観的に把握できます。

静的解析ツールを特定のコード部分のみを測定し、ルールのサブセットのみを報告するように構成することで、静的解析をコード品質の客観的な尺度として利用する人もいます。

客観性は、使用されるルールによって決まります。これらのルールは、時間の経過とともにコードの評価において変化しないためです。明らかに、使用されるルールの組み合わせとその構成は主観的な決定であり、異なるチームは異なるタイミングで異なるルールを使用することを選択しています。

CIで静的解析を実行することは便利ですが、プログラマーへのフィードバックが遅れる可能性があります。プログラマーはコーディング時にフィードバックを受け取らず、後で静的解析ツールでコードを実行したときにフィードバックを受け取ります。CIで静的解析を実行することによるもう1つの副作用は、結果を無視しやすくなることです。

チームが静的解析の結果に注目しやすくするために、通常、ビルドプロセスでしきい値メトリクスを設定し、メトリクスを超えた場合にビルドが失敗するように設定できます。例えば、多数のルールがトリガーされた場合などです。

IDE での静的解析

フィードバックをより早く受け取るために、IDE の静的分析ルールをオンデマンドで、またはコードが変更されたときに定期的に実行する IDE プラグインが多数用意されています。

プログラマがコードを記述している際に、IDEでルール違反を確認できるようにし、ルールを無視しにくくするため、エディタで下線付きのコードとしてレンダリングされるように違反を設定できることがよくあります。

個人的には、これはコーディングを改善するのに便利な方法だと思います。特に、静的解析ツールでカバーされている新しいライブラリを使用する場合は特にそうです。ただし、誤検出や興味のないルールがあると「ノイズが多い」場合があります。しかし、特定のルールを無視するように静的解析ツールを設定するという追加の手順を踏むことで、この問題を解決できます。

静的解析ルールに基づくコードの修正

ほとんどの静的解析ツールでは、ルールの修正はプログラマーに任されているため、プログラマーはルール違反の原因と修正方法を理解する必要があります。

違反を修正する機能を備えた静的分析ツールはほとんどありません。修正は、多くの場合、チーム、使用するテクノロジー、および合意されたコーディングスタイルに合わせて行われるためです。

デフォルトルール

静的解析ツールにデフォルトのルールが用意されていると、ルールの品質に対する誤った信頼が生じる可能性があります。プログラマーが遭遇する可能性のある全ての問題と、そのルールが適用すべき全ての状況をカバーしていると信じ込んでしまうからです。ルールを適用すべき状況は微妙で、簡単に見分けることができない場合があります。

静的解析ツールを使用し、ルールと違反をより詳細に調査することで、プログラマーが特定のドメインの文脈において問題を検出し回避するスキルを身につけることが期待されます。

ドメインにコンテキストルールが必要な場合、静的解析ツールにはドメインまたはライブラリに一致するルールが存在しない可能性があり、さらにツールの構成や拡張が困難な場合があります。

煩わしさ

これらの「煩わしさ」はどれも乗り越えられないものではありません。

• 偽陽性
• 修正の欠如
• ルールを無視する設定
• コンテキスト固有の規則の追加

しかし、そもそも静的解析ツールの使用を避けるための言い訳としてよく使われます。静的解析は次のような方法として非常に役立つ場合があるため、残念です。

• 若手開発者へのより良いアプローチを強調
• 明確なコーディング違反に関するフィードバックを迅速に取得
• プログラマーがこれまで遭遇したことのない不明瞭な問題を特定する
• プログラマーが優れたコーディング手法を採用していることを強調する（違反が報告されていない場合）

IDEベースの静的解析ツール

プロジェクトへの個人寄稿者として、コードに関するフィードバックを迅速に受け取れるように、IDE内で実行される静的解析ツールを使用するのが好きです。

これにより、プルリクエストレビュープロセスや、プロジェクトが持つ可能性のあるCI統合が補完されます。

私は、自分に優位性をもたらし、個々のワークフローを改善してくれるツールを見つけるようにしています。

IDE でツールを実行する場合、基本的な GUI と構成アプローチは同じ傾向があるため、同じように表示したくなる場合があります。

ツールには重複する機能やルールセットがある場合がありますが、その利点を最大限に活用するために複数のツールをインストールしています。

コーディング時に私が積極的に使用している静的解析IDEツールは以下の通りです。

• 組み込みの IntelliJ インスペクション-一般的なコーディングパターン
• スポットバグ-よくあるエラー
• SonarLint-一般的な使用パターン
• チェックスタイル-一般的なスタイルパターン
• セキュア・コード・ウォリアーの先生-カスタムルール作成

私はそれらをすべて使用しています。なぜなら、それらは互いに補完し合ってうまく連携するからです。

IntelliJ インスペクション

IntelliJを使用している場合は、すでにそのインスペクションを使用していることになります。

これらは IDE でフラグが付けられた静的分析ルールです。その中には、問題に対処するためにコードを書き換える QuickFix オプションがあるものもあります。

ルールはオンとオフを設定でき、IDE で強調表示するエラーレベルも選択できます。

IntelliJの優れたインスペクションは数多く存在します。これを書いている間にそれらを確認したので、そのことは承知しています。私はIntelliJのインスペクションをデフォルトで使用していますが、まだ設定は行っていません。インスペクションを最大限に活用するには、インスペクションを確認し、自身のコーディングスタイルに関連するものを特定し、コード内で気づけるよう警告レベルを設定する必要があります。

IntelliJのインスペクションの素晴らしい点は、IDEに無料で付属していることと、次のような筋肉の記憶を構築するのに役立つことです。

• コードを書いているときにソース内の警告やエラーに気づく
• フラグが設定されたコードにカーソルを合わせると、ルール違反がわかります
• Alt+Enter キーを使用して問題のクイックフィックスを適用する

スポットバグ

SpotBugIntelliJプラグインは、静的解析を使用してコードのバグを警告します。

SpotBugs は IntelliJ の環境設定からコードをスキャンするように設定できます。実際に使用されるルールは Detector タブにあります。

私はコードを書いてレビューした後、SpotBugsを使う傾向があり、その後「テストソースを含むプロジェクトファイルの分析」を実行します。

これは、バグ、デッドコード、明らかな最適化を特定するのに役立ちます。また、何をすべきかを判断するために、フラグが立てられた違反のいくつかを調査する必要があります。

SpotBugs は問題を検出しますが、問題を解決するためのクイックフィックスアクションは提供しません。

SpotBugs は設定が簡単で、IDE 内で参照する客観的なセカンドオピニオンとして役立つと思います。

ソナーリント

ザのソナーリントプラグイン。

SonarLintは、IntelliJの設定から設定し、コードの検証対象となるルールを選択できます。

デフォルトでは、SonarLint はリアルタイムで実行され、編集中の現在のコードの問題を表示します。

SonarLintは迅速な解決策を提供していませんが、違反報告に関連する文書は通常明確で十分に文書化されています。

SonarLint は、これまで Java の新しいバージョンで認識していた新しい Java 機能について警告してくれるので便利でした。

チェックスタイル

ザのチェックスタイルプラグインは、フォーマットとコード品質ルールを組み合わせて提供しています。

CheckStyleプラグインには、「サンチェック」と「Googleチェック」がバンドルされています。

これらの定義は簡単に見つけることができます。

CheckStyleは、プロジェクトが時間をかけて独自のルールセットを作成した場合に最大の価値をもたらします。そうすれば、IDEプラグインがそのルールセットを使用するように設定でき、プログラマーはコードをCIにコミットする前にスキャンを実行できます。

CheckStyle は、CheckStyle 違反の数がしきい値を超えた場合に CI プロセスのビルド失敗プラグインとしてよく使用されます。

先生

先生、コードの照合とクイックフィックスの作成には、抽象構文木（AST）に基づく静的解析を使用します。これにより、問題のあるコードを非常に具体的に特定できます。

ASTを使用すると、レシピに関連するQuickFixが周囲のコードを理解できます。例えば、コードに新しいクラスを追加する場合、そのクラスのインポートはソースファイルに一度だけ追加され、置換のたびに追加されることはありません。

Senseiは、他のツールには存在しない場合や設定が難しいカスタムマッチングルールを簡単に構築できるようにするために作成されました。

設定ファイルを修正する代わりに、すべての設定をGUIで実行できます。新しいレシピを作成する場合、GUIではレシピがどのコードと一致するかを簡単に確認できます。また、QuickFixを定義すると、コードの前後の状態をすぐに比較できます。これにより、チームやテクノロジー、さらには個々のプログラマーに固有のレシピなど、非常に文脈に沿ったレシピを簡単に作成できます。

私はSenseiを他の静的解析ツールと組み合わせて使用しています。例えば、ほとんどの静的解析ツールは問題を検出しますが、修正はしません。Senseiの一般的な使用例は、他のツールの一致検索をSenseiで複製し、クイックフィックスで拡張することです。これには、適用されたカスタムフィックスがプロジェクトのコーディング標準を既に満たしているという利点があります。

Intensionレポートが作成したコンテキストと完全に一致しないか、IntelliJが提供するQuickFixが使用したいコードパターンと一致しないことが原因で、IntelliJのIntensionsセットに既に存在するSenseiレシピを定期的に作成しています。

既存のツールを完全に置き換えようとするのではなく、既存のツールを補強します。

Senseiは、共通ルールのコンテキストバリアントを特定する場合にも非常に役立ちます。例えば、静的解析ツールでサポートされていないSQLライブラリを使用している場合でも、静的解析エンジンの共通SQLルールが引き続き適用される場合、Senseiを使用してそれらのルールのライブラリ固有のバリアントを作成できます。

Senseiは、前述の静的解析ツールのように一般的なレシピをすぐに提供しているわけではありません。その強みは、特定のコーディングスタイルやユースケースに合わせて構成されたQuickFixを使用して、新しいレシピを簡単に作成できることです。

注:現在、一般的なユースケースに対応するために、レシピの公開リポジトリを作成中です。 こちらで見つけることができます。

サマリー

私は、連携して動作し、設定可能で、特定のコンテキストに合わせて簡単に拡張できるツールを選ぶ傾向があります。問題を特定したり、使用しているプログラミング言語やライブラリについて理解を深めたりするために、IDE の静的解析ツールを長年使用してきました。

上記のすべてのツールを組み合わせて使用します。

• IntelliJ Intentionsは、よくあるコードの問題をすぐに報告するのに役立ちます。多くの場合、関連するクイックフィックスを使用します。
• SpotBugs は見逃したかもしれない単純なバグを見つけ、パフォーマンスの問題を知らせてくれます。
• SonarLint は、私が気づいていなかった Java の機能を特定し、コードをモデル化する他の方法を教えてくれます。
• CheckStyleは、CI中にも適用される合意されたコーディングスタイルに準拠するのに役立ちます。
• 先生は、静的解析ツールで見られる一般的なシナリオを補強したり、別のツールでは構成が難しい特定のプロジェクトや技術レシピを作成したりするためのクイックフィックスの作成をお手伝いします。

---

「環境設定\ プラグイン」(Mac) または「設定\ プラグイン」(Windows) を使用してIntelliJ内からSenseiをインストールし、「senseiセキュアコード」を検索してください。

一般的なユースケースのサンプルコードとレシピのリポジトリは、Secure Code Warrior アカウントの「sensei」プロジェクトにあります。

https://github.com/securecodewarrior/sensei-blog-examples

先生についてもっと知る

組織のセキュリティ体制を改善する確実な方法は、開発者がセキュアコーディングのベストプラクティスを習得することである。しかし、セキュアコーディングは一度限りの修正ではなく、組織の DNA に刻み込まれた生活習慣にする必要があります。開発者は、左遷する、あるいは左遷を始めるだけでなく、左遷を続ける必要がある。 

単にトレーニングを提供するだけでは十分ではない。組織は、開発者がトレーニングを完全に吸収し、日常業務の一環としてソフトウェア開発ライフサイクル（SDLC）の最初の段階でベストプラクティスに従っていることを確認する必要があります。開発者のパフォーマンスを追跡し、社内標準と業界ベンチマークの両方に対する進捗を測定し、トレーニングに投資した ROI を効果的に測定する必要があります。

Secure Code WarriorTrust Score は、個々の開発者のパフォーマンスを可視化し、データを集計して組織全体のパフォーマンス（assessment ）を提供します。アップスキリングプログラムの有効性を示すと同時に、改善が必要な分野を特定します。また、一般データ保護規則（GDPR）、Payment Card Industry Data SecurityStandard（PCI DSS）、California Consumer Privacy Act（CCPA）など、さまざまな規制コンプライアンス要件への準拠を保証するのに役立ちます。

セキュア・コード・トレーニングが有効であることは、私たちの調査で明らかになっています。トラストスコアは、600以上の組織で25万人以上の学習者が行った学習データから2000万以上の学習データを抽出したアルゴリズムを使用して、脆弱性を減少させる効果や、イニシアチブをさらに効果的にする方法を明らかにしています。

トレーニングはセキュリティを向上させる - 開発者がそれを得れば 

何年もの間、SDLC の開始時にセキュリティのベストプラクティスを使用することは、ソフトウェア業界ではほとんど願望に過ぎないように思われました。しかし、ソフトウェア開発のスピードがますます速くなり、洗練された破壊的なサイバー脅威（多くの場合、ソフトウェアの脆弱性を標的として構築される）のペースが加速しているため、安全なコーディングが不可欠になっています。サイバーセキュリティおよびインフラセキュリティ機関（CISA）は、国際的なムーブメントに成長しつつあるSecure-by-Designイニシアチブで、セキュアなコードを最前線に据えている。 

セキュアバイデザインのアプローチとソフトウェアの脆弱性削減の相関関係は明らかです。SCWの顧客ベースの26%から得られた脆弱性削減データを分析したところ、開発者のトレーニングによってソフトウェアの脆弱性が22%から84%削減されることがわかりました。この幅は、関係する企業の規模（開発者の数が比較的少ない小規模な企業ほど、より劇的な結果の幅が大きい）や、学習グループが特定の問題に集中しているかどうか（その場合、より高い割合の欠陥を排除しているかどうか）などの変数に起因しています。

大企業の結果は一貫している。開発者数が 7,000 人以上の企業では、開発者がセキュリティのスキルを向上させた結果、脆弱性が 47～53%減少すると予想される。例えば、1 万人以上の開発者を抱える統計的に平均的な企業では、脆弱性が 53％減少した。 

もちろん、最も効果的なトレーニングは、大雑把で画一的なアプローチではありません。開発者の職場環境や、彼らが行う開発の種類に合わせたものでなければならない。

企業は、開発者が安全なコードを書くことを、単にコードを書くことと同じように自然にできるように、開発者が持つべき基本的なスキルを確立することから始めるべきである。スキルアッププログラムは、開発者の仕事の種類や使用する言語に合った実世界のシナリオで、実践的でアジャイルなトレーニングから構成されるべきである。また、トレーニングセッションを仕事のスケジュールに合わせられるよう、柔軟性を持たせるべきである。 

開発者にとってのスキルセットは、コードを書くことだけではない。人工知能アシスタントや、オープンソースのリポジトリなどのサードパーティが作成したソフトウェアをチェックできる必要があるのだ。開発者たちは、生成AIモデルを積極的に活用しており、より多くのコードをより迅速に作成するのに役立つその利点を一般的に称賛している。しかし、Snykの調査では、回答者の76％がAIが生成したコードは人間が生成したコードよりも安全だと答えたものの、それでも56.4％がAIは時々または頻繁にエラーを引き起こすと回答している。また、同じ調査では、開発者の80％がAIコードのセキュリティポリシーの適用をスキップしていることが判明しており、AIコードにおけるコードの問題が対処されていないことが示唆されている。

セキュアバイデザインのアプローチでは、開発者は、セキュリティチームと別個にではなく、セキュリティチームと協働して、SDLC の早い段階でこれらの問題に取り組み、コードが本番稼動する前に欠陥を特定し、修正します。

信頼スコアは個人と企業のパフォーマンスを測定する

また、トレーニングを継続的に行うことも重要である。企業は、会社の上層部から下層部に至るまで、あらゆる場所に適用されるセキュリティ優先の文化を採用する必要があります。この文化は、SDLC 全体を通して、継続的な改善とベスト・セキュリティ・プラクティスの適用に焦点を当てるべきである。テクノロジーとサイバー犯罪者は進化を止めない。ソフトウェアを製造する組織にとって、セキュリティ訓練を受けた開発者は基礎である。

そのため、トレーニングが効果的に定着していることを実証することは、トレーニングそのものと同じくらい重要です。Trust Scoreは、開発者個人と組織全体のパフォーマンスを可視化するだけでなく、特定の言語、開発者チーム、またはソフトウェアカテゴリに焦点を当てるために、パフォーマンスデータをドリルダウンすることができます。また、個人および集計されたパフォーマンス結果のデータは、トレーニングが開発者の日常的なパフォーマンスに望ましい効果をもたらしていない場合など、トレーニングの改善が必要な領域を特定するのに役立ちます。

Trust Score は、開発者のパフォーマンスを評価し、必要なセキュリティ・スキルを習得しているかどうか、またそれを使用しているかどうかを確認することで、開発者がコードを書くためのライセンスを確実に取得できるようにする。これによって、組織は、最も機密性の高いデータや重要なソフトウェア・プロジェクトへのアクセスを、資格のある開発者に自信を持って許可する一方、まだ準備が整っていない開発者のアクセスを拒否することができる。

セキュリティ文化の変化の証明

サイバーセキュリティはもはや単なるセキュリティ問題ではない。多くの組織にとって最も貴重な資産であるデータの完全性に影響を及ぼす、ビジネス上の問題なのだ。深刻な侵害は、組織の運営、評判、そして潜在的には存続に影響を及ぼす。サイバーセキュリティの重要性は、規制当局も見逃してはいない。規制当局は、ますます厳しい規制を実施し、CISOやその他の上層部のメンバーに対して、Uberや SolarWindsのケースのように、刑事告訴までして追及する姿勢を見せている。 

今日の環境では、全社的なセキュリティ文化の導入が不可欠です。企業の価値の多くはデータ、アプリケーション、サービスにあるため、セキュアなコーディングは企業文化の中核をなす要素である。文化的な考え方の一環として的を絞ったトレーニングとスキルアップを行い、トレーニングが文化の変革に役立ったことを証明することで、企業はセキュリティ体制を強化する道を歩むことができる。 

開発者主導のセキュリティ・プログラムには価値がある。その証拠はトラストスコアにある。