개발자 주도 보안에 대한 일관된 접근 방식 확립
ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。
米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。
全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。
ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。
なぜ?
この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。
開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。
そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。
92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。
この状況を打開するために、組織は何をすればいいのでしょうか?
興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。
トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。
また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。
結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?
組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。
また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
소프트웨어 업데이트 프로세스를 통해 주요 기업 및 정부 기관을 비롯한 인기 있는 Orion 관리 소프트웨어 사용자 18,000명 이상을 감염시킨 SolarWinds 캠페인과 같은 주요 보안 침해에 대응하여 보다 효과적인 개발자 주도 보안 노력에 대한 요구가 증가하고 있습니다.규모를 막론한 모든 조직에서 자사의 '소프트웨어 공급망'에 의문을 제기하기 시작하면서 소프트웨어를 만드는 개발자에게 검증된 보안 기술과 인식을 갖추도록 요구하고 있습니다.
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。
米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。
全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。
ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。
なぜ?
この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。
開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。
そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。
92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。
この状況を打開するために、組織は何をすればいいのでしょうか?
興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。
トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。
また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。
結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?
組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。
また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。
米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。
全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。
ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。
なぜ?
この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。
開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。
そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。
92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。
この状況を打開するために、組織は何をすればいいのでしょうか?
興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。
トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。
また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。
結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?
組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。
また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
ソフトウェア更新プロセスを利用して、多くのトップ企業や政府機関を含む人気管理ソフトウェアOrionの18,000人以上のユーザーに感染したSolarWindsキャンペーンなどの大規模なセキュリティ侵害を受け、開発者主導でより効果的なセキュリティ対策を行うよう求める声が高まってきている。あらゆる規模の組織が「ソフトウェアのサプライチェーン」に疑問を持ち始め、ソフトウェアを作る開発者に検証されたセキュリティスキルと意識を要求しているのです。
米国政府でさえ、開発者主導のセキュリティ対策とソフトウェア・サプライチェーンの強化を呼びかけています。これらのコンセプトは、バイデン大統領が発表した「国家のサイバーセキュリティの向上に関する大統領令」の主要な構成要素となっています。
全体として、開発者コミュニティは、DevSecOpsのようなプログラムや運動を通じて、セキュリティをソフトウェア開発ライフサイクル(SDLC)の早い段階に移行させるという考えを受け入れています。最近行った調査では、開発者コミュニティは、その努力を支援するために受けたセキュリティトレーニングを評価していると回答しています。
ソフトウェアの脆弱性が悪用され続けており、開発者ですらコードに脆弱性を残すことがあると認めています。
なぜ?
この調査では、高品質のコードを書くことが開発コミュニティにとって最優先事項であることが確認されました。しかし、この調査では、開発者に提供されているトレーニングが、ソフトウェアサプライチェーンの安全性を確保するという目標には程遠いといういくつかの理由も明らかにされました。33%は、トレーニングを受けても、既知の脆弱性を特定したり修正したりする方法を知らないため、コードに脆弱性を残したままにしていると回答しています。また、92%が少なくともある程度のセキュリティに関する追加トレーニングが必要だと回答し、50%がさらに多くのトレーニングが必要だと回答しています。
開発者コミュニティは、与えられたトレーニングが何であれ、それを重視していることは明らかです。しかし、セキュアコーディングの実践を妨げる要因について質問したところ、「時間がない」という回答が最も多く、次いで「まとまった取り組みがない」という回答が5分の1を占めました。トレーニングは、開発者のワークフローにセキュリティを組み込んで日常的に活用するための継続的な戦略的努力の一部ではなく、単発のイベントとして捉えられていました。
そのため、開発者は、組織全体で一貫した継続的なプログラムの一環として、セキュアコーディングスキルを構築し、保持することができないのです。また、多くの開発者が、一般的な脆弱性を特定し修正することができないと答えていることから、現在受けているトレーニングは、特に効果的でも包括的でもないと結論付けることができます。
92%の開発者が、少なくともある程度のセキュリティに関する追加トレーニングが必要であると回答し、92%の開発者が、さらに多くのトレーニングが必要であると回答しています。
この状況を打開するために、組織は何をすればいいのでしょうか?
興味深いのは、開発者が圧倒的に「もっとセキュリティのトレーニングが必要だ」と答えていることです。そして、彼らが受けたトレーニングを評価している一方で、それは単に得られるものなら何でも喜んでいるという状況かもしれません。
トレーニングの改善方法について意見を求めたところ、この問題に対する彼らの真の考えが浮かび上がってきました。一般に、開発者が受けたトレーニングのほとんどは、限定的で、非対話的で、自分の職務にある程度的を絞っており、組織のセキュリティスキルと意識の向上を支援する全体的または継続的な計画の一部ではなかった。調査した開発者によると、組織が提供するトレーニングの効果を高めたいなら、SDLC全体でセキュリティにより重点を置くことを促進する包括的アプローチの1つとして提示する必要があるという。さらに、開発者は、トレーニングをより価値のあるものにするための具体的な要求を持っていました。最も多かった提案の1つは、セキュリティの観点から遭遇する可能性の高い状況のユースケースや実践的な事例をもっと盛り込むことでした。また、よりインタラクティブなトレーニングの必要性や、競争的な要素の追加も強調されています。一般的に、ユーザーがビデオを見たり講義を聞いたりするだけで、実践的で文脈的な学習をする機会がないトレーニングは、セキュアコーディングのような複雑で難しい(と思われている)スキルを教えようとする場合、効果的ではないし特に価値がないと考えられています。
また、開発者は、よりインタラクティブにすること、そして、競争的な要素を加えることも必要だと強調しました。
結束力のあるセキュリティ・アプローチを採用する場合、他にどのような要素が重要なのでしょうか?
組織の開発者コミュニティのセキュリティ意識とスキルを向上させようとする場合、もちろんトレーニングは重要である。そして、学習が継続的かつインタラクティブで、適切かつ文脈に応じたものであることを保証することが必要である。しかし、セキュリティ意識を向上させるための真にまとまったアプローチは、それだけにとどまらない。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変更する必要があるかもしれません。例えば、開発者は、従来、いかに早くコーディングできるかに基づいて評価されてきた。しかし、セキュリティに対する結束力のあるアプローチには、このような長年の評価基準や価値観を変えることが必要かもしれません。その代わり、評価では、速さを評価するのではなく、安全な、つまり脆弱性のない高品質のコードを作成できる開発者に報酬を与えることができます。
また、開発者コミュニティ自体もこの取り組みに参加させることができる。開発者に単にセキュリティを義務付けるのではなく、コミュニティからセキュリティチャンピオンを選出することを検討する。このようなセキュリティチャンピオンは、トレーニングや新たに焦点を当てた評価基準の一部として、才能があり、セキュリティを意識している開発者である。また、他の開発者がスキルを向上させるのを進んで支援し、開発コミュニティを内部から向上させることも必要である。
真にまとまりのあるアプローチは、真の開発者主導のセキュリティ文化を醸成するために何が必要かを検討する必要があります。そのためには、開発者チームを管理・構築する一般的な方法から焦点を変える必要があるかもしれません。
参考資料
ホワイトペーパーソフトウェア・セキュリティ向上のための課題(および機会
ホワイトペーパーソフトウェア・セキュリティに対する開発者主導の予防的アプローチ
ホワイトペーパーDevSecOpsスーパーボール。セキュリティチャンピオンがチームをサポートし、後発の脆弱性に対して勝利する方法
レポート開発者主導のセキュリティのあり方 2022年
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
