Secure Code Warrior 報告書によると、アプリケーション・セキュリティは、開発者に責任を負わせることにより、対応から予防へと移行している。
ボストン、シドニー、ロンドン、ブルージュ、ポートランド、2021年3月24 日 - の新しい調査結果です。 Secure Code Warriorセキュアコーディングのグローバル企業である®は、ソフトウェア開発業界で意識の変化が起きていることを明らかにしました。
プロの開発者とその管理者を対象としたこのグローバル調査では、10社中7社(70%)の企業が安全なコーディング手法の重要性を認識しており、業界全体で対応から予防への移行が進んでいることがわかりました。
Secure Code Warrior の最高技術責任者兼共同設立者であるマティアス・マドゥ博士は、「世界中で考え方の根本的な変化が見られます。業界は、侵入された後に展開される応急処置的な解決策から、最初のキーストロークから本質的に脆弱性のない高品質なソフトウェアを書くという、積極的で人間主導の実践へと徐々に移行しています」と述べています。”
今回の調査では、ソフトウェア開発において "安全なコード "は "高品質なコード "と同義語になりつつあり、セキュリティはAppSecの専門家だけでなく、開発チームやリーダーの責任になりつつあることがわかりました」と述べています。
セキュアコーディングは「リアクティブ」なもの
回答者が安全なコーディングに関連するプラクティスとして挙げたのは、配備されたアプリケーションにツールを使用することや、脆弱性がないかコードを手動で確認することなど、反応的なプラクティスでした。しかし、世界中で積極的な考え方の変化が見られ、調査対象となった開発者の半数以上(55%)が、安全なコーディングとは、脆弱性から保護されたソフトウェアを書くための積極的かつ継続的な実践であると認識していました。
経営者と開発者の意識のズレ
調査対象となったマネージャーの半数以上(55%)が、開発プロセス全体を通してセキュアコーディングが実践され、統合されていると回答したのに対し、開発者では43%にとどまりました。逆に、開発者の36%は、設計段階ではなく開発段階でセキュアコーディングを考慮しているが、管理者の3分の1以下(32%)とは対照的である。
成功の指標として高まるセキュアコード
調査対象者は、ソフトウェア開発における最も一般的な成功指標として、「アプリケーションのパフォーマンス」と「機能と特徴」を挙げていますが(それぞれ67%と62%)、5人に4人近く(79%)の回答者が、「安全なコード」の重要性が高まっていると答えています。
アプリケーション・セキュリティは変化している
回答者の約半数(46%)は、アプリケーションセキュリティに責任を持つべきは、AppSecチーム(24%)ではなく、開発リーダーやチームであると回答しています。調査対象となった開発者の10人に8人以上(81%)が、脆弱なコードが作成された場合、その責任は自分にあると回答しています。
開発者のモチベーションアップ
生産性や効率性の向上」、「好奇心」、「安全でないコードに起因する問題の回避」が、安全なコーディングを学ぶための主要な内発的動機として挙げられました(それぞれ20%、14%、11%)。また、個人的な動機付けとしてキャリアアップを挙げた回答者は10%にとどまったものの、5人に4人(81%)の管理職が、セキュアコーディングのスキルを持つ人材を採用する可能性が高いと回答しました。
さらなるトレーニングが必要
調査対象となった管理者の91%は、回答者の圧倒的多数(97%)が十分なトレーニングを受けていると考えているにもかかわらず、組織内で安全なコーディング手法を導入する際に平均以上の困難に直面していると回答しました。これは、調査対象となった開発者の10人に9人(88%)が、安全なコーディングは困難であると回答したことに起因していると考えられます。
マドゥーは次のように述べています。 OWASPのトップ10 過去20年間、ソフトウェアの脆弱性が原因で引き起こされたセキュリティ侵害は他に類を見ないほど多く、企業は今こそ、安全でないコードを排除し、問題の発生を未然に防ぐために必要な知識とスキルを開発者に身につけてもらう必要があります」と述べています。”
"コードは日常のコミュニケーションの中心にあります。Secure Code Warrior は、接続された世界のために素晴らしく安全なソフトウェアを作成できる、セキュリティに精通した開発者を支持することに重点を置いています。
報告書「Shifting from Reaction to Prevention」への早期アクセスをご希望の方は、こちらからご登録ください。アプリケーション・セキュリティの変化 2021」への早期アクセスをご希望の方は、こちらからご登録ください。
方法論
Secure Code Warrior®は、IT業界におけるマーケットインテリジェンスのリーダーであるEvans Data Corporationに委託し、ソフトウェア開発に積極的に従事している開発者や意思決定者を対象としたグローバル調査を実施しました。2020年8月、北米、インド、イギリス、ヨーロッパ、オーストラリア、ニュージーランド、東南アジアで400名の回答者を対象に調査を行いました。
報道関係者の方で、レポートの閲覧やインタビューのお申し込みをご希望の方は、下記までご連絡ください。 カーリー・ライアン(ホットワイヤー) E: securecodewarrior@hotwireglobal.com