デビルピックとは何ですか?
デブリンピックスは、Secure Code Warriorがアジャイル学習プラットフォームで主催する年次グローバルトーナメントであり、開発者のセキュリティコード技術をテストします。
24時間行われるトーナメントで、世界中の開発者はプログラミング言語を選択し、攻撃的および防御的なコーディング課題で競い合いました。開発者は様々な技術を用いて仲間と競い合い、スコアを獲得し、ランキングの頂点を目指しました。
本レポートでは、Devlimpic 2023の結果を概説するとともに、チャレンジ全体を通じて数百人の開発者が強調した強みと機会を深く掘り下げます。さらに、セキュリティコード学習を次のレベルへ引き上げるため、開発者が扱う各業界、言語、および一般的なCWE(Common Weakness Enumerations)に関するトレンドに焦点を当てています。
デブリンピックとセキュアコード・ウォリアーに関する開発者の意見
「Secure Code Warriorは、他の参加者と競い合いながら技術を向上させられる素晴らしいプラットフォームです。」
「セキュアコードウォリアーは、インタラクティブなコードレビューのようなアプローチを取ります。」
「Secure Code Warriorは、興味深い競争を通じて皆様を訓練できる最高のプラットフォームの一つです。」
「楽しくて、スリル満点で、本当に最高でした!」
開発者はセキュアコードウォリアーを好みます
イベント終了後、200名以上の参加者を対象に実施したアンケート調査の結果、開発者たちがこの大会を好んでいることが分かりました。
開発者参加
デブリンピックへの開発者参加は年々増加を続けており、2023年のトーナメントには1000人以上の開発者が参加します。デブリンピックは様々な産業およびプログラミング分野のセキュリティ専門家や開発者から世界的な注目を集めています。昨年の2倍の参加率を記録し、開発者が安全なコーディング手法を学ぶことにますます熱心に取り組む傾向が見られます。セキュリティに精通した開発者コミュニティを育成することで、デブリンピックは脆弱性からコードを守る第一防衛線としての開発者の価値を継続的に強調しています。
デビルリムに参加する産業
セキュリティコードはあらゆる産業で重要ですが、特定の分野では業務上絶対不可欠です。銀行・金融サービス業界と テクノロジー業界は、セキュリティコード開発に携わる開発者数において上位を占めています。これは、これらの業界がセキュリティコードに継続的に焦点を当て、重視することがいかに重要かを如実に示しています。
産業別使用言語
各産業では多様なプログラミング言語を活用しています。その中には6つのカテゴリー(ウェブ、モバイル、フロントエンド、API、クラウド、マッシュアップ)があり、30以上の言語を使用できます。以下は様々な産業で流行しているいくつかの言語です。
止められない、止めない
Devlympicsに参加したプレイヤーはプラットフォーム上で平均約3時間を過ごし、その結果、総計4,152時間のゲームプレイ時間を記録しました。
ランキング表の最上位にいる一部の開発者は次の段階へと進みました。最も長いプレイ時間を記録した上位20名のプレイヤーは、トーナメントで平均14時間をプレイしました。これこそが献身です!
フルスタック開発者
デブリンピックでは、開発者の41%が少なくとも2つ以上の言語でプレイし、ほぼ4分の1が3つ以上の言語でプレイしました。
Stack Overflowによると、2つ以上の言語で本番コードをコミットした開発者はフルスタック開発者とみなされます。
教育プログラムを通じて、開発者がコードをコミットするあらゆる技術について学ぶことはできますか?修了時には63種類の言語とフレームワークを提供し、セキュアコードウォリアープラットフォームがサポートします。
テックスタックのトレンド
セキュリティコードは、公開アクセス可能なコードにおいて最も重要です。
あらゆる産業分野において、開発者たちはウェブまたはAPI言語を使用してゲームをプレイしました。
Java SpringとDocker Basicは、トーナメントで最も多くプレイされた個別言語として首位を占めました。
セキュリティチャンピオンコミュニティ
今年のデブリンピックでは、最高中の最高が競い合いました。その大半は既にSecure Code Warriorを利用しています。結果はこれを反映しています!あらゆる業界において、デブリンピックの選手たちは、Secure Code Warriorが自社プラットフォーム評価部門で言及した業界ベンチマークをはるかに上回る成果を示しました。
Secure Code Warrior 基盤に、献身的な開発者セキュリティチャンピオンコミュニティを継続的に構築していくことで、これらの数値は毎年さらに有望なものになると予想されます!
主な脆弱性 - WebおよびAPI
Devlympicsに参加した開発者たちは、OWASP Top 10カテゴリにおいて、注入脆弱性や脆弱なサードパーティコンポーネントに対する技術水準が優れていました。時間の経過とともに、これらの脆弱性がOWASPトップ10リストから除外されることを期待しています。
大量割り当ては依然として重要な問題です。この特定の脆弱性に対する開発者の技術レベルは最低レベルの一つでした。この分野では自動化されたツールやテストが不足しているため、これは懸念すべき実際の原因であり、注意深く監視する必要があります。この分野に関する教育をさらに受けることで、この特定の脆弱性に対処するセキュリティチームの負担軽減にも役立つでしょう。
CWEの最も危険な25のソフトウェア脆弱性
一般的な脆弱性リスト(CWE)最も危険な25のソフトウェア脆弱性リストは、開発者に対し、今日最も一般的で影響力の大きいソフトウェア脆弱性の年間リストを提供します。
#1 CWE-787 メモリ破損、#9 CWE-352 クロスサイトリクエストフォージェリ、#10 CWE-434 ファイルアップロードは、デブリンピック期間中最も低い精度スコアでした。
#3 SWE-89 SQLインジェクション、#5 CWE-78 OSコマンドインジェクション、#8 CWE-22パストラバーサルといったインジェクション関連の脆弱性は、デブリンピック期間中に最も高いスコアを獲得したCWEでした。開発者の技術が向上するにつれ、これらの脆弱性はCWE Top 25やOWASP Top 10といった業界リストでの順位が低下すると予想されます。
弱点順序
結論
2023年のDevlympicsは、世界中の開発者がトーナメントに参加し、学びながら成長する姿を示しています。競争から得られる誇りだけでなく、その影響力も感じ取ることができます。しかし実際のシナリオを見ると、知識を容易に維持し、実践から応用へと移行できることがわかります。
Secure Code Warriorは、開発者がセキュアなコードを書くために必要なスキルを構築できるよう支援する、業界をリードするセキュアコードアジャイル学習プラットフォームです。
セキュアコードウォリアーを活用して、独自のトーナメントを運営しましょう。開発チーム向けのデブリンピックのように。チームメンバーがソフトウェアの脆弱性を見つけ、特定し、解決する方法を学べる、楽しくゲーム化された競争を繰り広げてください。
成長するコミュニティに参加しましょう
私たちのビジョンは、セキュリティ技術を備えた開発者で構成されるグローバルコミュニティが、予防的で安全なコーディング文化を受け入れるようインスピレーションを与えることです。私たちの焦点は、攻撃、脅威、リスクの発生を最小限に抑え、変化を主導し、革新を加速させるためのセキュリティレジリエンスを強化することにあります。コーチングとメンタリングは、開発者コミュニティに参加する上で欠かせない要素だと考えています!
デビルピック2024に登録しましょう Xで私たちをフォローしてくださいすべての最新情報を入手できます。
%20(1).avif)