보안 코딩을 중심으로 조직 재조정 — 장벽, 우려 사항 및 능동적 솔루션
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
.avif)
초연결 세상에서는 거의 모든 조직이 공통적인 아킬레스건을 공유하고 있습니다.취약점 하나, 악용 가능한 코드 한 부분만으로도 고객 데이터 도용, 평판 손상 및 상당한 재정적 손실이 발생할 수 있습니다.보안 코딩에 대한 조직 조정이 그 어느 때보다 중요하지만, 보안 코딩을 달성하는 것은 말처럼 쉽지 않습니다.
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
以下のリンクをクリックし、このリソースのPDFをダウンロードしてください。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
レポートを見るデモ予約
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
ハイパー・コネクテッド・ワールドでは、ほとんどすべての組織が共通のアキレス腱を持っています。 たった1つの脆弱性、つまりコードの隙間を突かれただけで、顧客データの盗難、風評被害、多額の金銭的損失を引き起こす可能性があるのです。セキュアコーディングに関する組織の連携は、かつてないほど必要不可欠なものとなっていますが、それを実現するのは言うほど簡単ではありません。 そこで、2020年、Secure Code Warrior は、Evans Data Corp.と協力して、セキュアコーディング、セキュアコードの実践、およびセキュリティ運用に対する開発者と管理者の意識に関する一次調査*を実施しました。
サイバーセキュリティが最重要視されるこの環境では、従来のプロジェクト成功のためのKPIは再定義されつつありますが、そのスピードは十分ではありません。
ソフトウェア開発プロセスにおいて最も重要な優先事項について、開発者と管理者に尋ねたところ、次のような答えが返ってきました。
- 76%がアプリケーション・パフォーマンスを指名
- 62%が機能・特徴を選んだ
- そして、50%強の人がセキュアコードを選択
今日では、見ての通り、セキュリティは重要な優先事項ではありません。
しかし、将来に目を向けると、状況は大きく変わります。プロジェクトの成功を測る上で最も重要な将来の優先事項について尋ねたところ、79%の開発者が「安全なコーディングがより重要になる」と回答しました。実際、開発者は、最も重要性が高まるKPIとしてセキュリティを挙げています。
しかし、安全なコーディングに対する意識が高まっているにもかかわらず、その導入には懸念があります。開発者にとっても管理者にとっても、脆弱性への対応やコードへの責任を負うことは、夜も眠れないほどの悩みです。私たちの調査*によると、この2つのグループは同じ基本的な懸念を共有しており、安全なコーディング方法のトレーニングが必要であることがわかりました。
安全なコーディング方法に関する懸念と障壁
開発者の懸念事項の第1位は、「過去の脆弱性を再現するコードを含む」ことです。開発者はコードの品質で判断されるので、これは驚くことではありません。安全でないコードや、手直しが必要でチームのペースを落とすコードの原因になりたいと思う開発者はいません。
開発者が2番目に懸念していることは、同僚のミスへの対処です。また、納期を守ることやコードに責任を持つことも上位に挙げられています。さらに、セキュアなコードについて学ぶことが難しいという点も、現在のトレーニング方法に対する開発者の不満を反映しています。
一方、マネージャーは、よりトップダウンの視点で物事を考えます。彼らの最大の関心事は、不良コードや過去の脆弱性を再現したコードの責任を負うことです。 結局のところ、自分のチームがお粗末なコードを作成した場合、その責任はマネージャーにあるのです。
3位の「学習プロセスが難しい」は、安全なコーディングを実践するための唯一の障壁ではありません。
45%が、利害関係者と経営陣の間のコミュニケーション不足が大きな障害になっていると指摘しています。42%が、新入社員にセキュアコーディングのスキルがないことを嘆いています。 同時に、40%がトレーニングの時間とリソースが不足していると指摘しています。
現在のセキュアコードトレーニングのアプローチでは効果が得られず、マネージャーは新しいアプローチが必要であることを認識しています。
セキュア・コード・プラクティスの責任者は誰ですか?
その性質上、セキュアコーディングの実践は、SDLCのかなり早い段階でセキュリティを考慮することを意味します。つまり、後回しにするのではなく、最初からソフトウェアを書くときに積極的にセキュリティを組み込むということです。言い換えれば、「左にシフトする」ということです。この「左遷」は、セキュアコーディングの実践の本質です。そして、最終的には、組織の全員が安全なコードに責任を持つべきだということです。しかし、現在のところ、開発者の15%しか同意していません。
しかし、ほとんどの開発者がセキュリティを他人事のように考えている一方で、少数ではありますが、安全なコーディングを積極的に取り入れるだけでなく、組織の中でそれを支持する人たちも増えてきています。今回の調査では、29%の開発者が、そのような人材が職場にいることを認めています。問題は、これらの安全なコードのチャンピオンがまだ少ないことです。
セキュリティ・チャンピオンを増やす
開発マネージャーは、新たなセキュリティチャンピオンを発掘・創出し、開発者全般のセキュアコーディングスキルを向上させる必要性を認識しています。
また、多くのマネージャーは、新しい開発者を採用する際には、セキュアコーディングのスキルを重視し、すでにチームに所属している開発者のセキュアコーディングの経験を評価します。
調査対象となった管理職の83%が、開発者に安全なコーディング手法の習得や採用を依頼していると回答しています。また、調査対象となった管理職の約4分の3が、開発者が安全なコードのトレーニングに参加するためのインセンティブを提供していると回答しています。 これらのインセンティブは、正式な表彰、より大きな責任、より高い給与など多岐にわたる。
開発マネージャーは、組織レベルで安全なコーディング手法を採用する上で重要な影響力を持ち、セキュリティチャンピオンを見極めるのに役立つことは明らかです。
しかし、このようなチャンピオンをより多く生み出すためには、開発者はどのようなモチベーションで安全なコーディングを学べばよいのでしょうか。私たちの調査によると、開発者は生産性や効率性を高める手段としてセキュアコーディングを考えています。
では、なぜ開発者は、より安全なコードトレーニングを求めないのでしょうか?組織のニーズが高まっているにもかかわらず、それに応えることができないのはなぜでしょうか。
リアライメントに着手するためのソリューション
開発者は、座って講師の話を聞くのではなく、実際に手を動かして自分で試してみたいと思っています。彼らは、現在のトレーニングプログラムに欠けている、実践的なアプリケーションに焦点を当てたいと考えています。会社が提供するトレーニングをどのように改善すべきかを尋ねたところ、回答者の30%が、実践的なアプリケーション、特に本物の仕事のシナリオに焦点を当てたトレーニングを望んでいると答えました。
現在のトレーニング方法ではこれを実現できません。新しいアプローチが求められています。変革の担い手として、Secure Code Warrior は、人が主導するアプローチで、組織が安全なコーディングに向けて再編成するのを支援します。当社のサイバーセキュリティ Coursesは、開発者が現実世界で直面する課題を模した「ゲーム化された」ハンズオンのコーディング課題を含む、ガイド付きの学習経路を提供します。
このトレーニングは、一般的なトレーニングとは異なり、言語やフレームワークに特化しています。
文化を再編成する際には Tournamentsは、コーダーのセキュリティ・スキルを測定し、将来のスキル開発のためのベースラインを確立し、開発チーム内の潜在的なセキュリティ・チャンピオンを見つけるために使用することができます。
セキュアコーディングの未来に向けて、管理者、開発者、組織のニーズを一致させるセキュアコードトレーニングについて、もっと知りたい方は 今すぐデモを予約する.
リアクションからプリベンションへの移行。The changing face of application security. Secure Code Warrior and Evans Data Corp. 2020
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
セキュアコードウォリアーは、ソフトウェア開発ライフサイクル全体を通じてコードを保護し、サイバーセキュリティを最優先とする文化を組織に根付かせるために存在します。AppSec管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、組織が安全でないコードに関連するリスクを軽減できるよう支援します。
デモ予約ダウンロード
%20(1).avif)
.avif)
