開発者リスクマネジメントは、アプリケーションセキュリティに対する全体的かつ積極的なアプローチであり、アプリケーション層自体のビットやバイトの中ではなく、コードの貢献者に焦点を当てたものである。

SDLC 全体にわたって開発者のセキュリティリスクをプロアクティブに測定、管理、緩和することで、セキュリティ態勢を改善し、ソフトウェアを迅速にリリースし、脆弱性を 53% 以上削減します。

デベロッパーリスクマネジメントの背後にある哲学は、コード貢献者のスキルアップと、プログラム的にセキュアコーディングスキルにガバナンスを適用することで、開発者主導のセキュアコードイニシアチブの利益と影響が飛躍的に増大するというものである。

米国政府のサイバーセキュリティ＆インフラセキュリティ局（CISA）が包括的なセキュア・バイ・デザイン・ガイドラインを発表してから2年が経過し、ソフトウェアメーカーに影響を与える分水嶺となった。初めて、ソフトウェアの品質とセキュリティの基準を引き上げるためのトップレベルのサポートが目に見える形で行われ、脆弱性のないコードを出荷するためのエンドユーザーではなく、ベンダーの責任への取り組みが推進された。

しかし、これらの原則を企業レベルで実際に実施することに関するコンセンサスは、なかなか得られないことが判明した。セキュリティ専門家の間でも、セキュア・バイ・デザインを構成するものについてのコンセンサスは得られていないようであり、ましてやそれを達成するための標準的な道筋が示されているわけでもない。 Secure Code WarriorSecure Code Warrior は、ソフトウェアの構築に重点を置く企業のセキュリティ専門家にインタビューを行い、Secure by Design の原則に対する現在のアプローチ（現在のセキュリティ態勢とソフトウェア開発ライフサイクル（SDLC）にどのように実装されているかなど）を深く掘り下げました。その結果、CISA の指針を実施するための広く受け入れられている標準がないこと、また、展開が成功したかどうかを判断するためのアクティブなベンチマークがないことが明らかになりました。業界として、セキュリティの説明責任とソフトウエアの品質が高まるというメリットを享受するためには、これは迅速に修正されなければなりません。 

‍

このリサーチペーパーでは、Secure Code Warrior 共同設立者であるPieter Danhieux氏とMatias Madou博士、そして専門家の寄稿者である元米国サイバーディレクター（現在はPaladin Capital Groupの戦略顧問）のChris Inglis氏、Paladin Global InstituteのシニアディレクターであるDevin Lynch氏が、CISO、アプリケーションセキュリティ担当副社長、ソフトウェアセキュリティの専門家など、企業のセキュリティリーダー20人以上への詳細なインタビューから得られた主な知見を明らかにします：

‍

• 企業で直面する一般的なセキュリティプログラムの課題についての洞察；
• セキュアバイデザイン・イニシアチブの役割；
• ソフトウェア開発におけるAIの役割、最新の脅威モデリング；
• ベストプラクティスの解釈、およびセキュア・バイ・デザイン戦略を業界全体で整合させるために精密データとベンチマーキングが果たす役割。 

‍

セキュアコーディングを定着させる専門家のサポート

SCWのプロフェッショナルサービスは、お客様のプログラムの各段階に深い専門知識を提供します。元セキュリティ専門家のチームが、リスクベースのアプローチで成功を加速します。

• 実戦で培われた専門知識 - 推測ではなく、実世界の洞察に頼る
• 開発者のリスク低減にリスクベースの手法を適用する。
• お客様のチーム、ツール、文化に合わせてロールアウトとトレーニングをカスタマイズします。
• 継続的なレビューとROIの追跡でプログラムを進化させる

プログラムを始めたばかりの方でも、次のレベルに進もうとしている方でも、より早く、そして持続的な成功を収めるために、私たちがお手伝いします。

‍

当社のコンテンツは、ソフトウェア開発ライフサイクルの一部であるあらゆるペルソナのために慎重にキュレーションされています。Secure Code Warrior 、ソフトウェア開発に携わるすべての人が、ソフトウェアを正しく作成し、配備する責任があると考えています。そのため、次のような役割の方々を対象に、啓発トピックから詳細な実践練習まで、さまざまなコンテンツを提供しています：

Secure Code Warrior 、ソフトウェア開発のライフサイクルに関わるすべてのペルソナを対象に、意識向上のためのトピックから詳細な実践練習まで、さまざまなコンテンツを提供しています。私たちは、ソフトウェア開発に携わるすべての人が、ソフトウェアの安全な作成と配備に役割を果たすと考えています。私たちのコンテンツは、さまざまな役割の方向けに編集されています。

• ソフトウェア開発者AI/Vibeコーダー、フロントエンド、バックエンド、APIエンジニア、モバイルエンジニア、Android/iOSエンジニア、組み込みおよび自動車業界エンジニア
• 技術プロフェッショナルDevOps、システム管理者、クラウドエンジニア、アーキテクト、QAエンジニア/マネージャー/テスター、
• 管理職などエンジニアリングマネージャー、プロダクトマネージャー/プロジェクトマネージャー/ビジネスアナリスト、データサイエンティスト/アナリスト/エンジニア 

Secure Code Warrior 、特定のコーディング言語とフレームワークの実践的な演習を提供し、開発者がこれらのスキルを日常業務に応用できるようにします。65以上のコーディング言語/フレームワークと10,000以上の実践的なアクティビティをサポートしています。

Questsは、開発者がセキュアコーディングスキルを向上させることで、ソフトウェアセキュリティリスクを軽減することを支援するlearning platform です。カスタマイズされた学習パス、実践的な課題、インタラクティブなアクティビティにより、開発者は脆弱性を特定し、予防することができます。

OpenText Fortify とSecure Code Warrior は、開発者がセキュリティ・チャンピオンになれるようにすることで、アプリケーション・セキュリティを強化するために提携しました。この統合により、ターゲットを絞った脆弱性教育、迅速な修復、開発者が最初から安全なコードを書けるようにするための実践的なトレーニングが可能になります。

このコラボレーションは、ソフトウェア開発ライフサイクルにセキュリティを組み込むことで、セキュリティリスクを低減し、コストを最小限に抑え、コンプライアンスを合理化し、企業が顧客の信頼を築き、高品質なコードを迅速に出荷できるよう支援する。

このパートナーシップの詳細については、当社のOne Pagerをご覧ください。