OpenText Fortify とSecure Code Warrior は、開発者がセキュリティ・チャンピオンになれるようにすることで、アプリケーション・セキュリティを強化するために提携しました。この統合により、ターゲットを絞った脆弱性教育、迅速な修復、開発者が最初から安全なコードを書けるようにするための実践的なトレーニングが可能になります。

このコラボレーションは、ソフトウェア開発ライフサイクルにセキュリティを組み込むことで、セキュリティリスクを低減し、コストを最小限に抑え、コンプライアンスを合理化し、企業が顧客の信頼を築き、高品質なコードを迅速に出荷できるよう支援する。

このパートナーシップの詳細については、当社のOne Pagerをご覧ください。

Secure Code Warrior は、コードレベルから脆弱性を軽減します。私たちのアジャイルlearning platform 、開発者は、現在の業界で最も完全で信頼性の高い脆弱性コンテンツで、好きなように学習することができます。

‍

‍

私たちのプラットフォームでは、魅力的なコーディングコンテストやtournaments 、現実世界の脆弱性や安全なコーディングの実践に焦点を当て、コミュニティ中心のサイバーセキュリティネットワークを育成することができます。

‍

DigitalOceanがセキュリティ債務を削減Secure Code Warrior

DigitalOceanは、スケーラブルなコンピュートリソースと一連のクラウドソリューションを提供し、開発者がアプリケーションを容易にデプロイ、管理、拡張できるようにします。DigitalOceanの製品とサービスは、開発者や企業が世界を変えるソフトウェアの構築に多くの時間を費やすことができるよう、新製品の提供に注力する研究開発チームを通じて提供されています。

状況

DigitalOceanはここ数年で急成長を遂げ、その成長を支えるためにエンジニアリングチームも拡大しました。DigitalOceanは、チームの規模が大きくなったため、開発者が設計レビューで発生する一般的なパターンを特定し、再発を未然に防ぐことができるようにする方法を模索していました。最終的には、ソフトウェアセキュリティの熟練度を高め、安全なコードに関して積極的かつ攻撃的な考え方を身につけさせるプログラムを求めていました。

「開発者に特化し、実践的で、組織が直面しているリスクに焦点を当てたソリューションが必要でした」。

アクション

DigitalOceanの製品セキュリティチームは、全体的な脆弱性管理に重点を置いており、開発者が知識を学び、テストし、適用できるような実践的なソリューションを必要としていた。

Secure Code Warrior を使って、セキュリティと設計のレビューで蔓延していると特定した特定の脆弱性に焦点を当てた、適切なセキュア・コーディング・プログラムをカスタマイズした。

このような基本を踏まえてプログラムを構築することで、開発チームはこれらの特定された問題に集中するための強力な基盤を得ることができた。 Secure Code Warrior アジャイルlearning platform によって、開発者は脆弱性のあるコードをレビューして特定し、学習モジュー ルを通じて「動いている脆弱性を見る」ことでコードの影響を理解することができた。この組み合わせは、開発者のセキュリティ態勢と知識ベースの構築に効果的であった。

結果

最も注目すべき成果の1つは、セキュアコーディングの実践を迅速かつ定期的に強化できるようになったことであり、これによりチーム全体のセキュリティ負債が著しく減少した。全体として、DigitalOceanは、SCWで訓練されたチームは、セキュリティ上の問題を特定し、軽減することに長けているだけでなく、セキュリティを損なうことなく、技術革新の限界に挑戦する自信を持つようになった。

開発者がセキュリティ上の欠陥に対処する時間を減らし、新機能や改良点の開発に集中する時間を増やしたため、このようなセキュリティ債務の削減は、生産性と効率の向上につながった。また、これらのチームのセキュリティ態勢が強化されたことで、DigitalOceanはより高品質で安全な製品を顧客に提供できるようになり、業界における競争力が強化された。

次の記事

今後、DigitalOceanは、SCW Trust Scoreがセキュリティトレーニングとベンチマーク機能をさらに強化する可能性に期待しています。SCW Trust Scoreにより、DigitalOceanはチームや部門間の詳細な比較を行うことができ、全体的なセキュリティ態勢を明確に把握することができます。
、DigitalOceanは進化を続け、変化し続けるセキュリティ環境に適応していく中で、同社のエンジニアリングチームと開発者チームは、セキュリティ負債を削減し続けるだけでなく、Secure Code Warrior 、開発者の生産性、ベロシティ、イノベーションの限界を押し広げるために、獲得したセキュリティ余剰を活用していくと確信しています。

‍

PDFを開く
↪Cf_200D

開発者主導のセキュリティを拡張するための可視性と制御性

すべてのコミットと開発者の安全なコード能力に関する強力な洞察があります。

‍

SCW信託代理店とは？

効果的なセキュア・バイ・デザイン戦略は、初期設計から本番稼動までその原則を実行する開発者に依存している。このダイナミッ クには、開発チーム全体で最高レベルのセキュリティコンピテンシーが必要である。開発者は、作成するコードにベストプラクティスを実装し、脆弱性を事前に特定し、脅威を是正するために、言語固有の知識とスキルを必要とする。しかし、言語固有のセキュリティコンピテンシーと開発者が書くコードとの間にギャップがあることがあまりにも多い。この断絶は、組織の全体的なセキュリティ態勢に盲点を生み、コードベースの脆弱性の可能性を高め、最終的には開発者主導のセキュリティ文化の実現を阻むことになります。SCW Trust Agent は、すべてのコミットをキャプチャし、開発者のセキュアなコードプロファイルと照らし合わせて分析することで、コードリポジトリ全体にわたる独自の可視性を組織に提供する画期的な製品です。 

SCW Trust Agentは、SCW Trust Scoreによって明らかにされた洞察に基づいて、セキュリティ・プログラムがすべてのコミットにおいてどの程度効果的に適用されているかを分析します。

‍

価値とメリット

• セキュリティ態勢の強化
• 開発ライフサイクルの最適化
• 開発者主導のセキュリティ
• 規制遵守の確保 
• 視認性と制御を一箇所で実現
• 安全なコード学習の微調整

‍

実用的な洞察

特定のコードコミット、そのコミットを行った人、その言語固有のセキュリティ知識とスキルを詳細に表示する。さらに、開発チームのセキュリティコンピテンシーとコードコミッ トが組織全体でどの程度整合しているかについての洞察を提供する、チームレベル とリポジトリレベルのダッシュボードも提供する。  

ポリシー設定

プロジェクトの感度と要件に基づいてポリシーとその全体的な制限を設定できるため、ソフトウェアの納品を遅らせることなく、言語固有のセキュリティ能力を確保できる。

広範なコード・リポジトリ・サポート

Github、GitLab、Bitbucket、Azure Reposなど、あらゆるGitベースのソースコード管理ツールにSCW Trust Agentをデプロイします。

アジャイル・セキュア・コード学習

SCW Trust Agent は、開発者のセキュリティ・コンピテンシーに関する洞察と、知識とスキルの向上に必要なツールを提供する SCW AgileLearning Platform によって支えられています。