セキュリティコードに関する考察

Secure Code Warrior 、私たちは常に革新を続け、顧客体験を向上させ、プラットフォームを通じて付加価値を提供しています。

今月は、Courses 管理者エクスペリエンスの新しいアップデート、待ち時間の少ない新機能への早期アクセス機能、SAP:ABAP コンテンツなどをリリースしました。

言語や脆弱性カテゴリにまたがる一括アクションを実行できる強力な表形式表示により、管理者はより簡単にCourses を管理できるようになり、エンドユーザーエクスペリエンスも向上しました。さらに、シンプルなオン・オフの切り替えで、新機能にいち早くアクセスできるようになりました。

もっと知りたい！という方は、飛び込んでみましょう。

新しいCourses 作成エクスペリエンスにより、courses をより簡単に作成・管理できます。

一括アクションにより、複数の学習経路や言語にわたってCourses を簡単に設計・展開できるようになりました。プロセスを再現するために時間をかける代わりに、開発者がより効果的に学習できるように、コンテンツと戦略にもっと焦点を当てることができます。

現在、Courses 作成フローの更新は、企業の管理者が利用できるようになっています。

パワフルな表形式表示と検索エクスペリエンスで、Courses の設計時間を短縮

すべての言語と脆弱性カテゴリにまたがるコース情報に1つのビューでアクセスできるようになり、異なる開発チーム向けにcourses を迅速に作成することが容易になりました。

新しい表形式の表示により、コンテンツの概要を一目で確認したり、詳細を掘り下げたりすることが容易になりました。また、コースコンテンツは言語や脆弱性のカテゴリーごとにグループ化され、各グループレベルでアクティビティの種類や難易度などの詳細が追加されているため、ナビゲーションが容易になりました。

また、検索機能やフィルターを適用することで、注目したい内容を絞り込むこともできます。さらに、表データは他のアプリケーションにエクスポートしたり、全行またはフィルタリングした行をCSVファイルにエクスポートしてさらに分析することができます。

‍

バルクアクションにより、少ないクリック数でより多くの操作を実現

すべての言語にわたって変更を適用するのではなく、一箇所からコースに一括して変更を加えることができます。一括変更により、管理者は時間を節約し、開発者のための適切なコース体験の設計という重要なことに集中することができます。

新しいバルクアクションは以下の通りです。

• OWASP Top 10や特定の脆弱性カテゴリなど、全言語を対象としたコースフォーカスの追加
• コースに言語を追加し、コンテンツを迅速に更新
• 選択した、またはすべての行のモジュールのコピー、ロック、ロック解除
• コースから言語やモジュールを削除する
• 歓迎とコース終了のメッセージを全言語で一括設定

‍

End-of-courseassessment pathways

各言語のコース終了時のassessment をカスタマイズし、一つのビューで管理できるようになりました。

言語やコースの種類に応じてカスタマイズされたassessment パスウェイを簡単に作成し、コース修了時にスキルを測定・評価することができます。

新機能への早期アクセス

‍

これまでは、新機能を知り、一般公開前に試したい場合は、カスタマーサクセスマネージャーに相談し、私たちのチームがお客様のために機能をオンにするのを待つ必要がありました。

いつ、どの機能をチームのためにオンにするかは、管理タブでトグルするだけで、コントロールできるようになりました。もう待ち時間は必要ありません。

次のURLからアクセスできます。 管理部門> もっと見る > アーリーアクセスをクリックしてお試しください。

この機能は、より多くの機能、特にユーザーエクスペリエンスに大きな変化をもたらすものに活用され、ユーザーエクスペリエンスをよりよくコントロールできるようにします。

早期アクセスにはどのような機能があるのでしょうか？現在のオプションの一部をご覧ください。

> より統一感のあるトップページ表示への改良

>Courses を更新しました。

1. プレビューステータスモード
2. コースコンテンツへの一括アクション
3. グローバルウェルカムメッセージ
4. コース終了時のアクティビティ改善

現在、アーリーアクセスのオプションは、企業の管理者が使用することができます。

新しくリリースされたトレーニングコンテンツでABAPアプリケーションを安全に

ABAPでコーディングする開発者が、非常に魅力的で適切なセキュアコーディングトレーニングに参加することができるようになりました!この新しいトレーニングは、開発者のセキュアコーディングスキルを向上させ、ABAPコードの脆弱性を低減させるのに役立ちます。

Secure Code Warrior コーディングチャレンジとMissions （ハンズオンラボ）で、カバーするプログラムを提供することができます。

1. 開発者が必要な時に楽しめるセルフペーストレーニング
2. コンプライアンス、セキュリティフレームワーク、開発者 のスキルレベルに合わせて、的を絞った学習パ スウェイを設定することができる
3. 楽しいコーディングコンテスト
4. セキュア・コーディング・コンピテンシー・アセスメント

ABAPトレーニングの内容については、こちらをご覧ください。

------

Secure Code Warrior を試してみたいけれど、まだアカウントを持っていない？今すぐ無料トライアルアカウントにサインアップして始めましょう。

今月の新機能の紹介はこれで終わりですTwitterでSecure Code Warrior をフォローすると、最新のリリースや改善に関する最新情報を入手できます。

ソフトウェアの脆弱性が後付けの対策やイノベーションの妨げと見なされる場合、組織はデータ漏洩、評判の毀損、高額な法的責任のリスクを招くことになる。サイバー攻撃は通常、コード内の脆弱性を悪用するが、こうした脆弱性はより強固な開発手法によって回避可能であったはずである。

安全なコーディングは、開発の各段階にセキュリティ原則を組み込むことでこれらの課題に対処します。開発者が記述するコードは、脆弱性が発見された後に修正を施すのではなく、インジェクション攻撃やクロスサイトスクリプティング（XSS）などの一般的な脅威に対抗する組み込みの保護策を活用します。安全なコーディングが、信頼性の高い高品質なソフトウェアを提供しながら、企業のリスク低減、ユーザー信頼の維持、規制要件の遵守にどのように貢献するか、詳しく見ていきましょう。

安全なコーディングとは何か？

安全コーディングとは、潜在的な脆弱性を解決するためにソフトウェアを記述する際に、セキュリティのベストプラクティスに従う原則です。安全コーディングは、セキュリティを独立した開発段階として扱うのではなく、検証済みの保証措置を初期段階から統合し、開発者がコードのセキュリティに対する所有権を確立し、効果的に適用するスキルを習得することを保証します。

攻撃者が悪用する一般的な落とし穴を回避したい開発者にとって、OWASP（Open Web Application Security Project）やソフトウェア工学研究所のCERT部門などの組織が策定した公認の安全なコーディング基準は、指針となる北極星の役割を果たします。現代のサイバーセキュリティ環境において、これらの戦略を既存のワークフローに安全に組み込むための基本的な安全なコーディングスキルを継続的に構築することは、譲れない要件です。例えば、可能な限り多くのユーザー入力を検証することでSQLインジェクション攻撃を防ぎ、出力エンコードはXSSの阻止に役立ちます。これらのセキュリティコーディング実践は情報漏洩リスクを低減し、変化するサイバー脅威に耐えるアプリケーションの回復力を高めます。

なぜ安全なコーディングがそれほど重要なのでしょうか？

安全なコーディングは重要です。なぜなら、多くの成功したサイバー攻撃は、開発プロセスにおいて本来予防可能な脆弱性を悪用しているからです。最初からセキュリティ対策を優先することで、攻撃者がデータ破壊や業務妨害に利用する可能性のある脆弱性が導入されるリスクを低減できます。ソフトウェア開発ライフサイクル（SDLC）の各段階にセキュリティを組み込むことで、あらゆる機能、更新、統合の設計時に保護が考慮されることが保証されます。

開発期間中にリスクを積極的に解決するコストは、デプロイ後のリスク修正コストよりもはるかに低くなります。デプロイ後の修正には緊急パッチ、システム停止、インシデント対応リソースが必要になる可能性があります。また、データ保護規制へのコンプライアンスを向上させ、潜在的な罰金や法的課題も回避できます。安全なコーディング実践は、消費者の貴社への信頼を育み、強固なセキュリティをブランド評判の一部として位置付けることもできます。

よくあるコードのセキュリティ脆弱性

安全なコーディングは、攻撃者が悪用する最も一般的かつ危険な脆弱性、および人工知能コーディングツール使用時に発生する新たな脅威ベクターを防ぐことを目的としています。以下に、いくつかの一般的な脆弱性、それらが引き起こす可能性のある損害、および安全なコーディングがこれらの脆弱性を緩和する方法の概要を示します。

逆シリアライゼーションの脆弱性

反シリアライゼーションの脆弱性は、アプリケーションが外部ソースからのデータを適切な検証なしに受け入れて処理する際に発生します。シリアライゼーションはオブジェクトを保存または転送可能な形式に変換する一方、反シリアライゼーションはそれらのオブジェクトを再構築して使用可能にします。反シリアライゼーションの脆弱性は深刻な影響を及ぼす可能性があり、任意のコード実行や権限昇格を引き起こすことがあります。安全なコーディングでは、信頼できる検証済みデータのみを反シリアライゼーションの対象とし、信頼できない入力に対するネイティブ反シリアライゼーションを可能な限り回避することでこの問題を解決します。

注射攻撃

インジェクション攻撃攻撃者が提供した入力がアプリケーションによってコマンドやクエリの一部として解釈される際に発生する。最も有名なタイプはSQLインジェクションであり、悪意のあるSQL文をクエリに挿入してデータベースの内容にアクセスまたは変更する。その他のタイプには、攻撃者が任意のコマンドを実行するコマンドインジェクションや、軽量ディレクトリアクセスプロトコル 注入攻撃の結果は多岐にわたり、不正なデータアクセスや削除からシステム全体の侵害に至る。個人情報や財務情報、専有情報を含むデータベースが主な標的となる。安全なコーディングは、パラメータ化されたクエリやプリペアドステートメントの使用、信頼できないデータの処理前のエスケープ処理、厳格な入力検証の実施を通じて注入脆弱性を防止する。これらの安全なコーディング手法は、攻撃者がアプリケーションの意図した動作を変更するのを阻止できる。

クロスサイトスクリプティング (XSS)

クロスサイトスクリプティング（XSS）は、Webアプリケーションに対するインジェクション攻撃の一種であり、他のユーザーが閲覧するページに悪意のあるスクリプトを挿入することで行われます。これは通常、アプリケーションが検証されていないユーザー入力を出力に含める場合に発生します。他のユーザーのブラウザがそのページを表示すると、悪意のあるスクリプトが実行され、Cookieの窃取、キーストロークのキャプチャ、または悪意のあるサイトへのリダイレクトを引き起こす可能性があります。

XSSの影響には、セッションハイジャックやID盗用が含まれる可能性があります。企業にとっては、顧客の信頼を損なうことになり、機密データが漏洩した場合、規制上の結果を招く恐れがあります。安全なコーディングは、ユーザー提供のすべての入力を表示する前に消毒とエンコードを行い、自動エスケープ出力フレームワークを使用し、スクリプトが実行できる内容を制限するコンテンツセキュリティポリシー（CSP）を実施することで、XSSの問題に対処します。

アクセス制御

アクセス制御の脆弱性は、ユーザーが閲覧または実行できる内容に関するルールが適切に定義または適用されていない場合に発生します。アクセス制御の欠陥により、攻撃者は想定されたユーザー権限の制限を回避し、機密データの閲覧、記録の改ざん、または特権ユーザーのみが実行できる操作を実行する可能性があります。

アクセス制御の問題は重大な課題であり、特に人工知能コーディングツールは、この脆弱性カテゴリを効果的に解決することに苦戦しており、開発者のスキルと意識の必要性を強調している。アクセス制御の侵害による影響は甚大である。例えば、攻撃者が管理者限定の機能にアクセスできる場合、セキュリティ設定を無効化したり、個人情報を抽出したり、他のユーザーを装ったりすることが可能となる。

安全なコーディング実践は、各リクエストに対してサーバーサイドの認証チェックを強制的に適用することでこれらのリスクに対処します。最小権限の原則に従い、セキュリティ対策として隠しリンクなどの隠蔽手法に完全に依存することを避けます。さらに、厳格なアクセス制御テストを実施することで、これらの保護策が長期にわたり強力に維持されることを保証します。

クロスサイトリクエストフォージェリ (CSRF)

クロスサイトリクエストフォージェリ（CSRF）攻撃は、ユーザーを認証済みの別のサイトで意図しない操作を実行させるものです。資金の移動、メールアドレスの変更、アカウント設定の改変などが該当します。この攻撃が成功する理由は、ブラウザが偽造リクエストに有効な認証トークン（例：クッキー）を自動的に含めるためです。

安全なコーディングは、各ユーザーセッション固有のCSRF防止トークンを実装し、状態変更リクエストごとにこれを検証することでCSRFを防御します。その他の防御策には、重要な操作に対する再認証の要求や、クッキーにSameSite属性を設定してクロスサイトリクエスト経由での送信を防止することが含まれます。これらの保護策を開発ライフサイクルに組み込むことで、システムが正当な意図的な操作のみを処理する可能性が高まります。

不安全な認証

不安全な認証ユーザー認証プロセスが脆弱、予測可能、またはその他の欠陥がある場合に発生します。これは、不適切なパスワードポリシー、安全でない認証情報の保存、または多要素認証の欠如によって引き起こされる可能性があります。 (MFA) の欠如が原因となる場合があります。攻撃者は、ブルートフォース攻撃、クレデンシャル・スタッフィング、または通信中の暗号化されていない認証情報の傍受など、様々な方法でこれらの脆弱性を悪用できます。不安全な認証の影響は非常に深刻であり、攻撃者がユーザーアカウント、管理権限、機密データに直接アクセスすることを可能にするためです。内部に侵入すると、システムをさらに侵害したり、価値ある情報を窃取したりする可能性があります。

安全なコーディングは、厳格なパスワード要件の強制、保存された認証情報のハッシュ化とソルト処理、すべての認証通信におけるHTTPSなどの安全プロトコルの使用、および追加の認証層を提供するMFAの統合を通じて、この脆弱性に対処します。開発者はまた、失敗した試行を制限し、不審な活動を早期に検出するようにログインメカニズムを設計すべきです。これにより、認証システムは脆弱な部分ではなく、強力な防御ラインとして機能します。

遵守すべき 6 つの安全なコーディング慣行

セキュリティソフトウェアの構築には、脅威の存在を知るだけでは不十分です。検証済みの安全なコーディング手法やパターンを学び、統合する必要があります。以下の技術は、開発者がセキュリティを各プロジェクトの不可欠な要素とするための実践的な手順を提供します。

1。ユーザーアクセス制御の実現

上述のように、ユーザーアクセス制御とは、システム内の各ユーザーロールに対して権限を定義し強制することを意味します。強力なアクセス制御は、権限のないユーザーが機密データを閲覧したり、記録を改ざんしたり、管理操作を実行したりすることを防止します。また、ユーザーアカウントが侵害された場合の被害を制限します。なぜなら、攻撃者が取得できる権限はそのアカウントの権限に限定されるからです。

効果的なユーザーアクセス制御には、強力な認証による身元確認と、認証済みユーザーが要求された操作を実行する権限を持つかどうかを確認する認可チェックが必要です。最小権限の原則に準拠し、ユーザーが業務を遂行するために必要な最小限のアクセス権限を提供するため、アクセス制御の実践を定期的に見直すべきです。アクセス制御はまた、システム内のポリシーとユーザーを最新の状態に保つための定期的な監視、および異常な活動を迅速に特定するための監査に依存しています。

2。データの検証とクリーンアップ

データの検証とクリーンアップには、処理前にすべての入力データをチェックして期待される形式、タイプ、パターンに合致していることを確認し、その後潜在的な危険なコンテンツを削除するためのデータクリーンアップが含まれます。これらの手法は、信頼できるソースであっても侵害される可能性があるため、外部ソースからの入力データすべてに適用すべきです。検証前はすべての入力を信頼できないデータと見なす必要があります。検証とクリーンアップを開発プロセスに組み込むことで、アプリケーションをインジェクション攻撃などの一般的な脅威から防御する耐性を維持できます。

3.現代語で書く

安全なコーディングは、単にコードの書き方だけではありません。セキュリティ上の脆弱性を導入しにくくするツールや環境の選択も含まれます。多くの企業にとって、完全に現代的な言語に移行することは現実的または効率的な選択肢ではない場合が多いですが、少なくともある程度は現代的なプログラミング言語を使用し、選択したすべての言語の最新バージョンを使用することで、ソフトウェアのセキュリティを向上させることができます。現代的な言語やフレームワークは、通常、より優れたメモリ安全性、より強力な型チェック、そして一般的な脆弱性に対する組み込みの保護機能を提供します。例えば、RustやGoのような言語は設計段階でセキュリティを考慮しており、旧式言語でより発生しやすいバッファオーバーフローなどの問題を防止するのに役立ちます。

JavaやPythonなどの既存言語は近代化やセキュリティ強化が難しい場合がありますが、最新版との同期を維持することで最新のセキュリティ機能とパフォーマンス改善が得られます。多くの更新では既知の脆弱性が修正され、安全でない機能が廃止され、より安全なデフォルト設定が提供されています。

4。練習ルール混同

コード難読化は、攻撃者がソースコードやコンパイル済みコードを理解、リバースエンジニアリング、または操作することを困難にするプロセスです。他のセキュリティ対策を代替するものではありませんが、アプリケーションのロジックや機密性の高いルーチンを隠蔽することで、覗き見を防ぐ追加の防御層を提供します。難読化には、変数や関数を意味のない識別子にリネームする、コードをより理解しにくい方法で再構成するといった技術が含まれる場合があります。

攻撃者が脆弱性を発見し悪用するために必要なコストと労力を高めることが目的です。セキュアコーディングにおいて、ファジングは他の強力なセキュリティ対策と組み合わせて使用され、アプリケーションを攻撃者にとって魅力の少ない標的にします。

5。コードのスキャンと監視

安全なコーディングの実践には、コードの積極的なスキャンと監視も含まれます。静的アプリケーションセキュリティテスト（SAST）ツールは、デプロイ前にソースコードに既知の脆弱性が存在しないかを分析し、動的アプリケーションセキュリティテスト（DAST）ツールは、稼働中のアプリケーションに悪用可能な脆弱性が存在しないかをリアルタイムでテストします。これら2つの手法を組み合わせることで、問題を早期かつ継続的に発見することが可能になります。

開発期間中のスキャンに加え、本番環境での継続的な監視の実施も極めて重要です。これには、異常な活動に対するアラートの設定、セキュリティインシデントの記録、および攻撃をリアルタイムで検知・阻止するランタイムアプリケーション自己防御（RASP）ツールの活用が含まれます。定期的なスキャンと監視により、開発プロセス中に脆弱性が発見された場合でも、重大な損害が発生する前に迅速に対処することが可能になります。

6。安全コーディング基準の記録と実施

セキュリティコーディング基準の策定には、チームが安全で保守性が高く、コンプライアンスに準拠したコードを書く方法を定義する明確なガイドラインの作成が含まれます。これらの基準は、入力検証、エラー処理、暗号化の実践、セッション管理などのトピックに加え、自社の技術スタック固有の一般的な脆弱性への対処方法も網羅すべきです。

これらの基準を策定することで、初級エンジニアから上級アーキテクトまで、すべての開発者が同一のセキュリティ原則に従うことが保証されます。トレーニングや定期的な更新と組み合わせることで、これらの基準は生き生きとしたリソースとなり、開発プロセスを最新のセキュリティ要件に適合させ続けることが可能となります。

安全コーディング基準とフレームワーク

独自のコーディング基準策定において支援が必要な場合、以下の一般的なガイドラインが役立ちます。これらは一般的な脆弱性に対処する一連の実践を網羅しており、コーディング作業を業界のベストプラクティスに整合させる方法を明確にするのに役立ちます。

OWASP 安全コーディング実践

セキュリティをコードの最初から最後まで組み込みたい開発者にとって、OWASPは最も広く認知された情報源の一つです。OWASPは「OWASP開発者ガイド」や「OWASP Top 10」といった重要なセキュリティコーディングリソースを提供しています。OWASPのアプローチは実践的であり、チェックリストや開発プロセスで適用できるコーディングテクニックを提供します。

OWASPガイドラインを遵守することで、プロジェクト間の安全なコーディングに共通の基準を確立でき、チーム全体に利益をもたらします。OWASPは新たな脅威ベクターや攻撃手法を反映するため定期的に更新されるため、組織はこれを利用して新たなリスクに先手を打つことが可能です。OWASPの原則をワークフローに組み込むことで、コード品質の向上、脆弱性の削減、広く受け入れられている業界ガイドラインとの整合性を実現できます。

NIST 安全ソフトウェア開発フレームワーク

米国国立標準技術研究所（NIST）は、包括的なセキュリティコーディングガイドラインとして、より広範なサイバーセキュリティフレームワークを発表した。NISTセキュリティソフトウェア開発フレームワーク（SSDF）は、高度なセキュリティソフトウェア開発プラクティスに関する情報を提供するだけでなく、企業内のチーム間およびチーム間で重要な問題に関するコミュニケーションを改善するための共通用語を提供する。特定の技術ではなく結果に焦点を当てているため、OWASPやSEI CERTコーディング基準などの他の基準を補完するものとして最適である。

SEI CERT エンコーディング標準

ソフトウェア工学研究所（SEI）のCERT部門によって開発されたSEI CERTコーディング基準は、C、C++、Java、Perlといった特定のプログラミング言語におけるセキュリティ上の脆弱性に対処することを重点としています。各言語固有の基準には、安全なコーディング規則、詳細な説明、および準拠コードと非準拠コードの例が含まれています。CERTコーディング基準は特定のプログラミング言語の微妙な差異や特異性を扱っているため、これらの環境で作業する開発者にとって非常に価値があり、実践的な指針となります。

マイクロソフト セキュア開発ライフサイクル

マイクロソフトのセキュリティ開発ライフサイクル（SDL）は、セキュリティをソフトウェア開発プロセスに不可欠な要素として組み込むことを目的とした一連の実践です。脅威モデリング、開発者向けセキュリティトレーニング、ソフトウェアサプライチェーンの保護など、10の重要なトピックに関する推奨事項を含みます。マイクロソフト自身もこの手法を採用しているため、組織は開発者、テスター、セキュリティチームを連携させる実証済みのプロセスから恩恵を得られます。

ISO/IEC 27001

ISO/IEC 27001は情報セキュリティマネジメントシステム（ISMS）の規格として最も著名ですが、安全なコーディングにも大きな影響を与えています。組織全体のISMS構築に重点を置きつつも、安全なコーディング原則を含んでいます。これらの推奨事項は、組織が安全なコーディング実践を導入する際に従うことができる高レベルの指針を提供します。

AI 安全規則

AIコーディングツールはこれまで以上に便利ですが、安全で正確なコードを生成できない場合、弊害が利益を上回ります。Security CodeWarriorのAIセキュリティルール（同種製品初の機能）は、GitHub Copilot、Cline、Cursor、WindsurfなどのAIツールと併用する安全なコーディングのベストプラクティスを提示します。これらのルールはAIプログラミングアシスタントを正しい方向へ導き、安全でないコードのリスクを最小限に抑えるためのガードレールを設定します。

最初から安全なコードの作成方法を学ぶ

安全なコーディングは単なる技術要件ではなく、重要なビジネス上の優位性です。チームが最初から安全なコードを書くことで、高額な脆弱性を防ぎ、データ漏洩のリスクを低減し、顧客が信頼できるソフトウェアを提供できます。しかし、体系的な指導なしに安全なコーディング実践を習得することは特に困難です。開発者には、現実世界での実践、絶えず変化する脅威に関する最新の知識、そして一行一行のコードに自信を持ってセキュリティ原則を適用する方法が必要です。

セキュリティコードウォリアーはISO 27001認証を取得し、SOC 2基準に準拠しています。アジャイル学習プラットフォームは、まさにあなたのチームが必要とするものです。特定言語のセキュリティベストプラクティス、現実的なコーディング課題、様々な役割向けに設計されたコンテンツを通じたトレーニングにより、セキュリティを事後対応的な考え方から開発プロセスの自然な構成要素へと変革します。開発者は脆弱性を早期に特定・修正するスキル、業界標準への準拠、ソフトウェア開発ライフサイクル全体におけるコードセキュリティの完全な所有権を習得します。Secure Code Warriorを導入した企業ではソフトウェア脆弱性が53％減少し、最大1400万ドルのコスト削減を実現。92％の開発者がさらなるトレーニングを希望するのも当然の結果です。

チームが初日からより安全で堅牢なコードを記述する方法を確認したい場合は、 Secure Code Warrior 予約してください。

Secure Code Warrior絶えず革新を続け、開発者と組織が今日の変化するセキュリティ課題に対処するための適切なスキルを習得できるよう支援しています。これを実現するために、当社はアジャイルセキュリティコーディング学習プラットフォームを提供しています。このプラットフォームにより、開発者は業界で最も包括的かつ信頼性の高い脆弱性コンテンツを通じて、自身の望む方法で学習することが可能になります。

過去四半期において、Secure Code WarriorはよりシンプルなSCIM構成によるユーザー管理に加え、企業管理者がトーナメントを複数ブランドや組織に拡張できる新たな手法を導入しました。さらに、Jira内で新たなコーディングガイドラインを提供開始したこと、プレビュー版としてパフォーマンス概要レポートと新たなプロセスワークフローを提供していることをお知らせします。

もっと詳しく見ていきましょう！

SCWプラットフォームの広がりと深さを拡張する

Secure Code Warriorの新コンテンツの継続的な拡充は、モジュールの関連性とタイムリーさを維持し、現代のサイバーセキュリティ環境で必要とされる知識に合わせてカスタマイズするのに役立ちます。業界をリードする60以上の言語を網羅する広さと深さにより、開発者向けの俊敏な学習計画を構築・拡張するための多様な言語やフレームワークを容易に活用できます。

現在提供中：Jira におけるコーディングガイドライン

Jira 統合にガイドを追加し、開発者向けにセキュリティ対策を含むシナリオ学習を提供します。ガイドは動画よりも詳細で、特定の言語やフレームワークに焦点を当て、開発者が問題を迅速に解決できるようコードスニペットを提供します。動画やチャレンジへのアクセスに加え、開発者はJira課題内で直接コーディングガイドを参照し、詳細な対策提案を得られるようになりました。

新登場：フロントエンド開発者向けコンテンツ

フロントエンド開発者も安全なコードサポートが必要です！そのため、タスクと演習で追加のフロントエンド脆弱性を公開しています。フロントエンド開発者はコースを通じてフロントエンド特化タスクにもアクセスできます。

これらの更新は、DOMベースのXSSなどの一般的な脆弱性からCSSインジェクションなどのあまり一般的ではない脆弱性まで、フロントエンド特有の脆弱性を包括的に網羅することを目指しています。ステップバイステップの実践演習は、脆弱性の悪用方法に関する信頼できるガイダンスをフロントエンド開発者に提供し、より高度な開発者はトーナメントのフロントエンド課題で自身のスキルを試すことができます。

安全文化を拡大する新たな方法

多社トーナメントを開始しました

‍

複数企業トーナメントを作成することで、複数の事業体、子会社、パートナー企業、および他社に所属する開発者間の健全な競争を実現できます。これにより、安全なコーディング文化が組織全体および複数のブランドに拡大されることが保証されます。

究極のマルチ企業対抗戦に参加してみませんか？第3回年次Devlympics -SCWサイバーセキュリティ啓発月間グローバル選手権へエントリー！既存のお客様はプラットフォームから登録可能です。

管理者および開発者の体験を簡素化する

新登場：コース検索

コース管理ページで他のフィルタ条件を適用する機能により、管理者は学習対象のコースをより簡単に絞り込めます。コースは状態、終了日、登録チームなど複数の属性でフィルタリング可能です。

SCIM を使用した SCW ライセンス管理の提供を開始しました

現在、プログラム所有者と企業管理者は、開発者を大規模にプログラムによって管理でき、アクセス制御が常に最新の状態であることを確信できます。

SCIM 設定は、ID プロバイダーを使用して Security Code Warrior へのアクセス権限を同期します。これらのタスクを自動化することで、正確性、セキュリティ、コンプライアンスが確保され、ユーザー設定時の時間とリソースを節約できます。現在、SCW はユーザーレベルの SCIM 設定のみをサポートしており、SCIM グループはまだサポートされていません。

プレビュー版を提供：プログラムワークフロー

 現在、プラットフォームの主要な可用性が改善されたことで、拡張性があり魅力的なセキュリティコード教育プログラムの設定がこれまで以上に容易になりました。コース作成の目的は、コースと評価を多段階のカリキュラムとして体系化することで、学習者により多くのガイダンスを提供することです。プレビュー機能を有効化したプラットフォームの顧客は、自動化されたプログラムワークフローを利用できるようになりました。プログラムワークフローにより、開発者は学習の開始点や次のステップへの進み方を把握でき、安全なコード学習プログラム内の各レベルを容易に完了できます。また、企業管理者はプログラムの設定・管理や開発者の次の学習活動への誘導に費やす時間を削減できます。

組織内でセキュアコーディング学習を始めるためのヒントが必要ですか？セキュリティ目標を達成するためのプログラム構築方法について、当社のガイドをご覧ください。

レポートとプロジェクトの洞察

プレビュー版を提供：性能概要

企業管理者として、組織全体の活動を監視することは、開発者の参加状況を把握し、安全なコード学習プログラムの成功を測定する上で極めて重要です。強化されたレポートインターフェースを構築し、企業管理者がレポートから最も実用的な知見を確実に収集できるようにしました。

性能概要では、開発者コースと評価の進捗状況、および一定期間における平均精度を詳細に把握できます。このレポートはまた、業界ベンチマークを生成し、ご自身のプログラムが選択した評価の業界平均スコアと比べてどの程度であるかを比較検討します。

この簡潔で強力なレポートは、Secure Code Warriorプログラムが2024年に発表する一連の洞察と指標の始まりを告げるものです。

Secure Code Warrior の試用に興味があるがSecure Code Warrior ？今すぐデモを予約して詳細を確認しましょう。

今四半期の新機能まとめ！セキュリティコードの戦士をフォローしてLinkedInとX（旧Twitter）で最新バージョンと改善点に関する更新情報を入手しましょう。

‍

‍

世界は急速に変化しており、企業も製品もデジタル化とソフトウェアへの依存度を高めています。開発者がコードを公開する速度はかつてないほど速くなっていますが、それでも75％のコードはAppSecチームによって検査され、マークされ、一般的で予防可能な脆弱性が発見されています。

セキュリティコードとセキュリティをソフトウェア開発プロセスの重要な要素として位置付けなければ、重大なリスクが生じます。実際、昨年の世界的なデータ漏洩の平均コストは435万ドルに増加しました（IBM 2022年データ漏洩コストレポート）。開発者は新たな脅威に対処するための魅力的な革新的なトレーニングを必要とするだけでなく、セキュリティチームとの協働を通じて培われるセキュリティ志向の思考様式を定着させるための文化変革も求められています。

Secure Code Warrior絶えずSecure Code Warrior、開発者と組織が今日の変化するセキュリティ課題に対処するための適切なスキルを習得できるよう支援しています。この目標は、参加型で柔軟かつ管理しやすいトレーニングプログラムを通じて実現しています。

過去四半期において、私たちはコーディングラボ（新規プレビュー版）を通じた新たな学習方法の構築、LMS SCORM統合の実現、よりアクセスしやすく包括的なユーザー体験の創出に注力するとともに、管理者の負担軽減と時間節約を実現しました。

もっと詳しく見ていきましょう！

プログラミングラボの発表 — より高度な学習

最近の業界調査（『2022年開発者主導のセキュリティ状況レポート』）によると、40%の開発者が自身のトレーニングが実践的でないと感じています。Coding Labsは、実践的なトレーニング、実際のコーディング、直感的なフィードバックを通じて、開発者のセキュアコーディングスキル向上を支援します。これらすべてが、使い慣れた強力なブラウザ内蔵IDE内で完結するため、学習から実践への移行がこれまで以上に容易になります。

開発者は曖昧で苛立たしい「正解・不正解」の指示を受ける必要がなく、正しい方法で学習していることを確信でき、リアルタイムかつ状況に応じたフィードバックを通じて理解を深められます。Coding Labsは、開発者がセキュリティ侵害の防止と組織のセキュリティ態勢の改善という目標を達成することを支援します。

SCWプラットフォームの一部として、この新たな体験は開発者エンパワーメントに全く新しい視点をもたらします。リーダーはトレーニング計画を策定し、開発者が成功に向けて準備を整えられるようにします。親しみやすい学習方法を通じて、開発者の現状に即した支援を提供します。親しみやすい指導型トレーニングにより、新たな脆弱性の克服を支援し、プログラミングラボなど段階的に難易度を高める実践体験へと導きます。リーダーは開発者がトレーニングをより魅力的に感じ、定着しやすくなり、最終的にコードベースに適用して脆弱性と手戻りを削減することを確信できます。

コーディングラボのプレビュー版が利用可能になりました。SCWのお客様は、アクセス権限に関する詳細について、担当のカスタマーマネージャーにお問い合わせください。

SCWのお客様ではありませんが、Coding Labsの利用状況を随時確認したいですか？こちらのフォームにご記入ください。

SCWに参加して、当社の製品革新について学び、プログラミングラボのデモをご覧ください。ウェビナーへの登録はこちらから。

安全コードトレーニングを、お好みのSCORM LMSと統合します

まもなくリリースされる新機能により、SCW管理者は手動開発なしで、セキュリティコード研修プログラムやその他の研修プラットフォームをより簡単に管理できるようになります。これにより時間を節約し、管理者が研修プログラムを改善するためのより効果的な方法に集中できるよう支援します。

もしご存じない場合、SCORM は共有可能なコンテンツオブジェクト参照モデル（ ）を意味し、電子教材の国際標準です。教材を SCORM 形式で公開すれば、ほぼすべての学習管理システム（LMS）が認識できると確信できます。

新しい SCORM LMS 統合により、以下のことが可能になります：

• 安全コードトレーニングを直接お好みのLMSに統合し、参加者と課題を1か所で管理できるようにします
• 組織の進捗状況と達成度を追跡する

‍

SCWプログラムを、ユーザーエクスペリエンスを向上させるため、お好みの開発者ワークフローに直接組み込むことを保証します。コースおよび評価用のSCORMパッケージをダウンロードすることで、LMSとSAP SuccessFactors、Workday、Cornerstoneなどの人気プラットフォームとのシームレスな統合を実現します。

LMS SCORM 統合は10月にプレビュー版を提供開始します。詳細については担当カスタマーマネージャーまでお問い合わせください。

SCWプラットフォームの広がりと深さを拡張する

Secure Code Warriorの新コンテンツの継続的な拡充は、モジュールの関連性と最新性を維持し、現代のサイバーセキュリティ環境で必要とされる知識に合わせてカスタマイズするのに役立ちます。55言語以上をカバーする業界をリードする広さと深さにより、多様な言語やフレームワークを使用する開発者向けトレーニングプログラムを容易に構築・拡張できます。

新たにリリースされたトレーニングコンテンツを使用して ABAP アプリケーションを保護する

私たちの基盤をさらに発展させて春に、私たちは新たなトレーニング方法を喜んで発表します。6つの全く新しい演習と14のタスクを通じて、ABAPを使用したプログラミングを行う開発者をトレーニングします。

新たな挑戦とコンテンツを通じて柔軟で多様な教育を実現する

Secure Code Warrior 、様々なスキルレベルに対応したコンテンツを継続的に公開すると同時に、トレーニングモジュールの関連性と挑戦性をSecure Code Warrior 。今四半期、SCWは人気プログラミング言語向けに以下のコンテンツを追加公開しました：

• 33個の追加RPGチャレンジ、これが顧客の最高要求です
• RPG内でトーナメントを作成できる
• 10の追加Python Djangoチャレンジ

すべての新しいコンテンツは現在、チャレンジプールで利用可能であり、プラットフォーム上でプレイできます。

管理者とユーザーの体験を簡素化する

現在、プラットフォームの重要な可用性が改善されたことで、拡張性があり魅力的なセキュリティコードトレーニングプログラムを構築することが、これまで以上に容易になりました。

公開済みコースを簡単に編集

既存の計画を編集する新しい方法を使用し、組織や研修計画の絶えず変化するニーズに対応します。コースバージョン管理により、管理者は全く新しいコースを作成することなく、既存のコースを編集できます。これはお客様が最も必要としている機能の一つです。

更新内容：

• 公開済みのコースに新しい言語を追加する
• コース内でモジュールやアクティビティの追加・更新・削除を行う
• コース終了イベントの追加/更新/削除
• このプラットフォームはコースの主要なバージョンを保存し、基本的なバージョン管理を作成します

メイン画面からコースにアクセスする

新しいホームページに「続行」ボタンを追加すると、アクティブカードの一覧が表示され、ユーザーが以前に起動したモジュールを素早く再開できるようになります。ユーザーはまた、メイン画面に表示されるウィンドウで、未完了のモジュールをすべて確認できるようになりました。

これにより、ユーザーはコースや評価を一時停止しなければならない場合でも、前回の終了地点から効率的に学習を再開でき、進捗が失われることはありません。

‍

これらの機能は、プラットフォーム上で早期アクセスが有効化されたアカウントに適用されます。アクセス権限に関するご質問がございましたら、担当のカスタマーマネージャーまでお問い合わせください。

インクルーシブデザインとアクセシビリティデザイン

Secure Code Warrior言語とデザインが橋渡しとなり理解を深める力を持つとSecure Code Warrior。安全なコーディングを推進する使命のもと、異なるユーザー層をつなぎ合わせています。私たちの目標は、包括的でアクセシブルな体験を創造し提供することです。アクセシブルデザインにおいて継続的な進歩を遂げていることを嬉しく思います。

繁体字中国語版がリリースされました

プラットフォームの言語に繁体字中国語を追加することで、私たちは真にグローバルな開発者コミュニティの構築を継続し、セキュリティの守護者となるために必要なツールへのアクセスを提供します。

言語は設定のドロップダウンメニューからアクセスできます。リソースセクションでは繁体字中国語と動画字幕も提供しています。

2022年10月5日開催のProductTalkウェビナーに参加する。

さらに詳しく知りたいですか？2022年10月5日に開催されるProductTalkウェビナーにご参加ください。当社の製品チームメンバーが、エキサイティングなアップデートや新機能について語る様子を聞き、変化し続ける開発者主導のセキュリティ環境について学びましょう。

ウェビナーに登録する こちら。

Secure Code Warrior の無料トライアルに興味があるがSecure Code Warrior 。 無料トライアルアカウント 今日から始めましょう。

今四半期の新機能まとめです！最新バージョンや改善点に関する更新情報は、 TwitterのSecure Code Warriorをフォローしてください。

不安全なコードが企業に数百万ドルの損失をもたらしている——では、安全なコーディング手法の導入を妨げているものは何だろうか？

ソフトウェアに依存する世界において、 コードの安全性を確保することは極めて重要です。ブランドの評判と財務的持続可能性はこれに懸かっています。とはいえ、セキュアコーディングには多くの懸念が存在し、その完全かつ効果的な普及を阻む障壁も数多くあります。今こそ新たな働き方が求められています。そこで2020年、Secure Code Warriorはエバンス・データ社と共同で、開発者とその管理職を対象に、セキュアコーディング、セキュアコード実践、セキュリティ運用に対する意識に関する予備調査を実施しました*（ホワイトペーパーをダウンロード） こちら）。

現在、組織は安全なコード実践の実施が困難であると感じています。開発者とマネージャーの双方が、脆弱性の対応とコードに対する責任の所在を特に懸念しています。

明らかに、より優れたトレーニングと安全なコーディング実践を支援する計画が必要です。開発者とそのマネージャーに安全なコーディングに関する懸念を尋ねた際、この必要性は明らかになりました。当社の調査*によれば、両グループは基本的な懸念事項を共有しています。しかし、役割の違いから、どの問題が最も緊急であるかについては意見が分かれています。

開発者が最も懸念するのは「過去の脆弱性を再現するコードを含むこと」である。彼らのコード品質に基づいて評価するならば、これは当然のことだ。いかなる開発者も、安全でないコードの源となったり、修正作業を必要としてチームの進行を遅らせるコードを書きたくない。

開発者が次に重視する課題は、同僚が導入したエラーの処理です。期限遵守とコードへの責任も最優先事項であり、安全なコードを習得することが困難であるという事実も同様です。これは、安全なコードに関する新たなトレーニング手法への需要を改めて示しています。

一方、マネージャーたちはよりトップダウンの視点を取る。

チームマネージャーやリーダーとして、彼らが最も重視するのはコードに対する責任です。もしチームが質の低いコードを生成した場合、その責任はマネージャーにはありません。

次に、以前の脆弱性を再現するコードの複製です。学習プロセスが挑戦的であるという事実が第三位です。現在のセキュリティコードトレーニング手法が効果を発揮しない場合、管理者は新たな手法が必要だと認識します。

安全なコーディング手法を採用する上での障壁

マネージャーに組織内で安全なコーディング手法を採用する上での障壁について尋ねたところ、二つのことが明らかになった：コミュニケーションとトレーニングである。

45％の人が、利害関係者との経営陣間のコミュニケーション不足が重大な障壁だと考えている。42％の人が、 新入社員の安全なプログラミングスキルの不足を嘆いている。同時に、40％の人が研修時間と リソースが不足していると述べている 。

組織全体で安全なコード実践を成功裏に導入するには、プロセスと人的資源に関連する障壁が存在する。

しかし、こうした厄介な問題があるにもかかわらず、進歩を遂げることは可能です。新入社員の安全なプログラミングスキルの不足や、トレーニングとリソースの不足といった問題は、より解決しやすいものです。

脆弱性の阻止において、開発者は最前線で戦っている。しかし、彼らはセキュリティプロトコルにおける自らの役割を支えるための支援、ツール、トレーニングを得ているだろうか？

彼らの懸念に基づけば、簡潔な答えは「いいえ」です。

事実、正しいトレーニングは講義のようなものであってはならない。

セキュアコーディング変革の推進者として、Secure Code Warriorは人間中心のアプローチを採用し、開発者が積極的にセキュアコーディングスキルを学び、育成することを支援します。当社の実績ある学習プラットフォームは、開発チームとセキュリティチームが、各自の優先ワークフロー内で状況に応じた高度に関連性の高い学習を提供します。これにより、脆弱性を発見するだけでなく、最初から脆弱性の発生を防止できるようになります。

この実践的なトレーニングはスキル向上の機会です——このキャリア転換は、脆弱性の防止を真剣に考え、チームメンバーと協力してより高い基準のコードを作成する開発者にのみ、プラスの影響をもたらします。

詳細情報をお知りになりたい場合、およびセキュリティを損なうことなくチームがより迅速に「左から始める」能力と安全なコードをより速くリリースする能力への潜在的な影響について理解したい場合は、 今すぐデモを予約。

*反応から予防へ：アプリケーションセキュリティの状況の変化。セキュリティコード・ウォリアーズとエバンスデータ社 2020

BSIMM 8 が公開されました！素晴らしい。これは大規模組織がセキュアなソフトウェアを生産するためにどのようなセキュリティ対策を実施しているかを調査した唯一の大規模研究です。

この調査は、Gary McGrawの監督のもと、アプリケーションセキュリティ専門家によって実施され、収集データの整合性と正確性を確保するとともに、30万人の開発者の日常業務を詳細に把握しました。私の最新のプレゼンテーションでは、BSIMMのデータを引用し、平均して100人の開発者につき2人のアプリケーションセキュリティ専門家がいることを示しました。

しかし、BSIMM4以降、状況は変わりました。BSIMM8の報告によれば、この数値はさらに減少しており、現在は100人の開発者あたり1.6人となっています。人材不足のため、アプリケーションセキュリティの専門家をさらに雇用することは現実的ではありません。組織がすぐに活用でき、拡張可能な安全なコードを記述できるよう、開発者にツールとトレーニングを提供することが、これまで以上に必要とされています。

この報告書によると、トレーニング実践において最も一般的な活動は、全従業員への意識向上トレーニングの提供であり、67％を占めています。私はSecure Code Warrior（SCW）におけるトレーニング実践の内容を整理し始め、当社のソリューションがトレーニング実践の全12項目——レベル1（大半の企業が実施）からレベル3（ごく少数の企業のみが実施）まで——を網羅できることに気づきました。

単一のソリューションで練習全体をカバーできる！12のトレーニング実践の中で、Secure Code Warrior ：

• レベル1：意識向上トレーニングの提供
• レベル1：オンデマンド個人トレーニング
• レベル2：訓練による衛星の強化（SCW指標）
• 第3レベル：コースの進捗状況に対する報酬（SCWバッジ）
• レベル3：サプライヤーまたは外部委託従業員への研修提供（SCW評価）
• レベル3：外部ソフトウェアセキュリティイベントの開催（SCWトーナメントモード）
• レベル3：訓練による衛星識別（SCW指標）

現在の解決策でこれらの問題を解決できると確信していますか？

11月初旬、ケンブリッジ大学は「 Trojan-Source」と題する研究を発表した。この研究の焦点は、指向性フォーマット文字を用いてバックドアをソースコードやコメント内に隠蔽する方法にある。これらはコード記述に利用可能であり、コンパイラによる論理解釈が人間のコード審査員による解釈と異なる点を利用する。

この脆弱性は新たに発見されたものです。過去には、ファイルの実際の拡張子を隠すために、ファイル名の末尾部分を反転させるなど、Unicodeを悪用する事例がありました。最近の研究によると、多くのコンパイラはソースコード内のUnicode文字を警告なしに無視し、コードエディタを含むテキストエディタは、これらの文字を含むコメントやコード行を再配置する可能性があります。したがって、エディタがコードやコメントを表示する方法は、コンパイラがそれらを解析する方法と異なる可能性があり、場合によってはコードとコメントが入れ替わることもあります。

詳細については、引き続きお読みください。あるいは、Trojan Source の模擬ハッキングを実際に試してみたい場合は、無料版の「公共ミッション」で体験してみてください。

双方向テキスト

ある種のトロイの木馬型ソース攻撃は、Unicode Bidi（双方向）アルゴリズムを利用しています。このアルゴリズムは、表示順序が異なるテキスト（例：英語（左から右）とアラビア語（右から左））をどのように組み合わせるかを処理します。方向指定フォーマット文字は、文字のグループ化と表示順序を再編成するために使用できます。

上記の表には、攻撃に関連するBidi置換文字が含まれています。例えば、

RLIE D O CP D I

RLIは右から左への分離を表します。これはテキストをその文脈（PDI、つまり流行方向分離によって区切られたもの）から分離し、右から左へ読み取ります。その結果：

C O D E

しかし、コンパイラやインタプリタは通常、Bidiオーバーライドを含む書式制御文字をソースコードの解析前に処理しません。もし方向書式化文字を単に無視する場合、次のように解析します：

E D O C

新瓶に古い酒？

もちろん、これは目新しいことではない。かつては、方向性フォーマット文字がファイル名に挿入され、その悪意ある本質を隠蔽していた。RLOでなければ、「myspecialexe.doc」と表示される電子メールの添付ファイルは十分に無害に見えるかもしれない（右から左へのスーパーコントロール文字）が、表示される文字列は真の名である「myspecialcod.exe」を示している。

トロイの木馬型ソースコード攻撃は、ソースコード内のコメントや文字列に方向付きフォーマット文字を挿入します。これらの文字は構文エラーやコンパイルエラーを生成しないためです。これらの制御文字はコードロジックの表示順序を変更し、コンパイラが読み取る内容と人間が読み取る内容が完全に異なる結果をもたらします。

例えば、以下の順序で以下のバイトを含むファイル：

方向に従ってフォーマットされた文字を再配置します。以下のように：

明示的な方向指定フォーマット文字がない場合、コードは次のように表示されます：

RLO は最終行で右中括弧を左中括弧に反転させ、その逆も同様に行います。このコードを実行した結果は「あなたは管理者です」となります。管理者チェックは無効化されていますが、制御ロールは依然として存在しているように見えます。

（出典：https://github.com/nickboucher/trojan-source/blob/main/C%23/commenting-out.csx）

これはあなたにどのような影響を与えますか？

多くの言語は攻撃を受けやすい：C、C++、C#、JavaScript、Java、Rust、Go、Python、そしておそらく他にもあるだろう。現在、一般的な開発者はソースコード内で方向付きフォーマット文字を見かけても気に留めないかもしれないが、初心者は肩をすくめて何も考えないかもしれない。さらに、これらの文字の視認性はIDEに大きく依存しているため、確実に検出されるとは限らない。

しかし、この脆弱性は当初、どのようにソースコードに潜入したのだろうか？まず、信頼できないソースからのソースコードを使用する場合、悪意のあるコードの貢献が気づかれずに済む可能性がある。次に、これは単にインターネットで見つけたコードをコピー＆ペーストするだけで実現可能であり、これは多くの開発者が過去に経験したことでしょう。ほとんどの組織は複数のベンダーからのソフトウェアコンポーネントに依存しています。これは、私たちがこのコードをどこまで完全に信頼し依存できるのかという疑問を投げかけます。隠されたバックドアを含むソースコードを、私たちはどのように選別すればよいのでしょうか？

これは誰の問題ですか？

一方、コンパイラとコンパイルパイプラインは、複数方向のソースコード行の使用を禁止すべきである。ただし、一方向が文字列とコメントのみに厳密に制限される場合は例外とする。文字列やコメント内の方向フォーマット文字がポップアップしない場合、方向変化を行末まで延長できることに留意されたい。通常、コードエディタは疑わしいUnicode文字（同形異義文字や方向指定フォーマット文字など）を明確に表示し強調すべきです。11月以降、GitHubは双方向Unicodeテキストを含む各行に警告フラグとメッセージを追加していますが、これらの文字の行内位置を強調表示しません。これにより、悪意のある方向変更や良性の変化が潜入する可能性が残されています。

開発者とコードレビュー担当者の意識が極めて重要です。そのため、脆弱性を説明する演習を作成しました。現在、この演習はJava、C#、Python、GO、PHPで利用可能です。

したがって、さらに詳しく知りたい場合は、当社のトロイの木馬ソースのシミュレーション（公開タスク）をお試しいただき、その後「トロイの木馬ソース研究」をお読みください。

Java によるシミュレーション

C# でのシミュレーション

PHP におけるシミュレーション

GOにおけるシミュレーション

Python におけるシミュレーション

静的解析とは何か？

静的解析は、アプリケーションを実行せずにソースコードを自動的に分析することです。

プログラムの実行中に分析を行う場合、それは動的解析と呼ばれる。

静的解析は通常、以下の検出に使用されます：

• セキュリティホール。
• 性能の問題。
• 基準を遵守しない。
• 時代遅れのプログラミング構造を使用している。

静的解析ツールはどのように動作するのか？

すべての静的解析ツールの基本概念は、ソースコードを検索して特定の警告や関連情報を持つ特定のコーディングパターンを識別することである。

これは「JUnit 5のテストクラスは'public'である必要がない」というように単純なものかもしれません。あるいは「SQL実行文で信頼できない文字列入力が使用された」といった、特定が難しいものかもしれません。

静的解析ツールはこの機能を実装する方法がそれぞれ異なる。

• 抽象構文木（AST）を生成するためのソースコード解析技術
• テキスト正規表現マッチング
• 以上の各項目の組み合わせ。

テキスト上の正規表現マッチングは非常に柔軟で、マッチングルールの記述が容易ですが、通常は大量の誤検知を引き起こし、またマッチングルールは周囲のコードコンテキストを全く認識しません。

ASTマッチングはソースコードを単なるテキストファイルではなくプログラムコードとして扱うため、より具体的な文脈マッチングが可能となり、コードレポートにおける誤検知の数を削減できます。

継続的インテグレーションにおける静的解析

静的解析は通常、継続的インテグレーション（CI）プロセス中に実行され、コンプライアンス問題のレポートを生成します。このレポートをレビューすることで、一定期間におけるコードベースを客観的に把握できます。

静的解析ツールを特定のコード部分のみを測定し、一部のルールのみを報告するように設定する人々もおり、静的解析をコード品質の客観的指標として利用している。

客観性は使用されるルールによって提供される。なぜなら、これらのルールによるコードの評価は時間の経過とともに変化しないからである。明らかに、使用されるルールとその設定の組み合わせは主観的な決定であり、異なるチームが異なる時期に異なるルールを選択する。

CIで静的解析を実行することは有用ですが、プログラマへのフィードバック提供が遅れる可能性があります。プログラマはコーディング中にフィードバックを受け取らず、後で静的解析ツールでコードを実行した際にフィードバックを受け取ります。CIで静的解析を実行するもう一つの副作用は、結果が見過ごされやすくなることです。

チームが静的解析の結果により注目できるよう支援するため、通常はビルドプロセス中にしきい値指標を設定し、その指標を超えた場合（例：多数のルールがトリガーされた場合）にビルド失敗を生成するように構成できます。

IDE における静的解析

フィードバックをより迅速に受け取るために、多くのIDEプラグインが用意されています。これらは必要に応じてIDE内で静的解析ルールを実行したり、コード変更時に定期的に静的解析ルールを実行したりできます。

次に、プログラマーがコードを記述する際、IDE上でルール違反を確認できます。ルールを無視しにくくするため、通常は違反行為をエディタ内で下線付きのコードとして表示するよう設定できます。

個人的には、これはコーディングを改善する有用な方法だと考えています。特に、静的解析ツールがカバーする新しいライブラリを使用する場合に有効です。たとえそれが「うるさい」ものであったり、誤検知や興味のないルールを含んでいたとしてもです。しかし、静的解析ツールの設定で特定のルールを無視するように追加の手順を踏むことで、この問題は解決できます。

静的解析ルールに基づいてコードを修正する

ほとんどの静的解析ツールでは、ルールの修正はプログラマに委ねられるため、彼らはルール違反の原因と修正方法を理解しなければならない。

静的解析ツールに違反行為の修正機能が含まれることは稀である。修正は通常、チームや使用技術、そして合意されたコーディングスタイルに依存するためである。

デフォルトルール

静的解析ツールにデフォルトのルールが付属している場合、そのルールの品質に対して誤った信頼を抱く可能性があります。人々は、それらがプログラマーが遭遇する可能性のある全ての問題や、そのルールが適用されるべき全ての状況を網羅していると容易に信じてしまいがちです。時に、ルールが適用されるべき状況は非常に微妙であり、発見しにくい場合があります。

静的解析ツールを使用して規則と違反行為をより詳細に研究することで、プログラマーは特定の領域において問題を発見し回避するスキルを養うことができる。

ドメインにコンテキストルールが必要な場合、静的解析ツールにはドメインやライブラリに適合するルールが存在しない可能性があります。さらに、これらのツールは通常、設定や拡張が困難です。

悩み

これらの「悩み」はどれも克服できないものではない：

• 偽陽性
• 修復不足
• 規則の構成を無視する
• 文脈固有のルールを追加する

しかし、それらは通常、最初から静的解析ツールの使用を避ける口実として使われることが多く、これは残念なことである。なぜなら、静的解析は以下のように非常に有用である可能性があるからだ：

• 初級開発者向けに重点的に優れた手法を紹介する
• 明らかなコーディング違反に関するフィードバックを迅速に取得する
• プログラマーがこれまで遭遇したことのない曖昧な問題を発見する
• プログラマーが適切なコーディング手法を採用していることを強調する（違反行為が報告されていない場合）

IDEベースの静的解析ツール

プロジェクトの個人貢献者として、私はIDE内で動作する静的解析ツールを好んで使用します。これにより、コードに関するフィードバックを素早く受け取ることができます。

これは、プロジェクトが持つ可能性のあるプルリクエストのレビュープロセスやCI統合を補完するものです。

私は自分に有利になるツールを見つけ出し、個人のワークフローを改善するよう努めます。

このツールが IDE 上で動作している場合、それらは同じ基本的な GUI と設定方法を使用することが多いため、それらを交互に確認したくなるかもしれません。

これらのツールは機能やルールセットが重複している可能性がありますが、最大の利点を得るために、私は複数のツールをインストールしてそれぞれの強みを活用しています。

以下に、コーディング時に積極的に使用している静的解析IDEツールを列挙します：

• IntelliJ内蔵チェック - 一般的なコーディングパターン
• SpotBugs-よくあるエラー
• SonarLint-よくある使用パターン
• CheckStyle-よくあるスタイルパターン
• Secure Code Warrior - カスタムルールの作成

私がそれらを使用するのは、それらが非常にうまく連携し、互いに補完し合うからです。

IntelliJ チェック

もしIntelliJを使っているなら、あなたはすでにそのチェック機能を利用していることになります。

これらはIDE内でマークされた静的解析ルールです。その中にはQuickFixオプションを備えたものもあり、コードを書き換えて問題を解決できます。

これらのルールは有効化および無効化が可能であり、またIDE内でそのエラーを強調表示するためのエラーレベルを選択することもできます。

IntelliJには多くの優れたチェック項目があります。この記事を書く際にそれらをすべて読み通したので、そのことを知っています。私はデフォルトでIntelliJのチェックを使用していますが、まだ設定は行っていません。しかし、チェックの価値を最大限に引き出すには、それらをすべて読み、自身のコーディングスタイルに関連する項目を特定し、警告レベルを設定してコード内でそれらに気づけるようにすべきです。

IntelliJのチェックの利点は、IDE内で無料で提供されることであり、それらは以下の分野における筋肉記憶の構築に役立ちます：

• コードを記述する際に、ソースコード内の警告やエラーに注意する
• マーカー付きのコードにマウスを合わせると、ルール違反の状況を確認できます
• alt+Enter キーを押して質問にクイック修正を適用する

スポットバグ

このSpotBugIntelliJプラグインは、静的解析を用いてコード内のエラーに注意を促すよう試みます。

IntelliJの環境設定でSpotBugsを設定し、コードをスキャンできます。実際に使用するルールは「検出器」タブで確認できます。

コードを記述しレビューした後、私はSpotBugsを使用することを好みます。その後、「テストソースを含むプロジェクトファイルを分析する」を実行します。

これは確かにエラーやデッドコード、明らかな最適化箇所を特定するのに役立ちます。また、報告された違反事項を調査することを促し、どう対処すべきかを判断する手助けとなります。

SpotBugs は問題を検出しますが、問題を解決しようとするクイックフィックス操作は一切提供しません。

SpotBugsは設定が容易で、IDE内で客観的なセカンドオピニオンを参照できることがわかりました。

ソナーリント

このSonarLintプラグイン。

IntelliJの環境設定からSonarLintを設定し、どのルールに基づいてコードを検証するかを選択できます。

デフォルトでは、SonarLint はリアルタイムで動作し、編集中の現在のコードの問題を表示します。

SonarLintはクイックフィックスを提供しませんが、違反レポートに関連するドキュメントは通常、明確で根拠が示されています。

過去、私はSonarLintが新しいバージョンのJavaで発見された新しいJava機能について注意を促すのに有用だと気づきました。

スタイルを確認

このCheck スタイルのプラグインは、フォーマットとコード品質のルールを組み合わせたものです。

CheckStyleプラグインは「Sun Checks」および「Google Checks」とバンドルされています。

これらの定義は、オンラインで簡単に見つけることができます。

プロジェクトが独自のルールセットを作成する時間を費やす場合、CheckStyleは最大の価値を提供できます。その後、IDEプラグインをそのルールセットを使用するように設定し、プログラマーはコードをCIにコミットする前にスキャンを実行できます。

CheckStyle の違反回数が閾値を超えた場合、CheckStyle は通常、CI プロセスにおけるビルド失敗プラグインとして使用されます。

先生

教師は抽象構文木（AST）に基づく静的解析を使用してコードを照合し、クイックフィックスを作成します。これにより、問題のあるコードを非常に具体的に特定できます。

ASTは、レシピに関連付けられたクイックフィックスが周囲のコードを理解することを可能にします。例えば、コードに新しいクラスを追加する場合、そのクラスのインポートは置換のたびに追加されるのではなく、ソースファイルに一度だけ追加されます。

Sensei 、他のツールでは存在しない、または設定が難しいカスタムマッチングルールをSensei 。

設定ファイルを変更する必要はなく、すべての設定はGUIで実行できます。新しいレシピを作成する際、GUIではレシピが対応するコードを簡単に確認できます。QuickFixesを定義する際には、コードの変更前後の状態を即座に比較できます。これにより、チームや技術、さらには個々のプログラマに特有の、文脈に非常に適合したレシピをより簡単に作成できます。

Sensei 例えば、ほとんどの静的解析ツールは問題を検出できますが、修正することはできません。Sensei 、Sensei 、Quick Fixでそれを拡張するSensei 。これにより、適用されるカスタム修正がプロジェクトのコーディング標準に準拠しているという利点があります。

私が作成したSensei IntelliJ IntensionsSensei 気づくことがよくあります。これは、Intension レポートが私が作成したコンテキストとあまり一致しないため、あるいは IntelliJ が提供する QuickFix が私が使用したいコードパターンと一致しないためです。

既存のツールを完全に置き換えるのではなく、それらを拡張しました。

Sensei 、一般的なルールの文脈に応じたバリエーションを認識する際にも非常に有用ですSensei 、Sensei SQL ライブラリを使用している場合でも、静的解析エンジン内の一般的な SQL ルールが依然として適用される場合、Sensei 。

Senseiは、前述の静的解析ツールのように多くの汎用的なレシピを最初から備えているわけではありません。その強みは、新しいレシピを簡単に作成し、特定のコーディングスタイルやユースケースに合わせてQuickFixesを設定できる点にあります。

注意：私たちは汎用的なユースケースを網羅する公開レシピリポジトリを開発中です。 こちらで確認できます。

要約

私は、特定の環境に合わせて拡張しやすく、設定可能で、協働作業に適したツールを選ぶ傾向があります。長年にわたり、IDE内で静的解析ツールを活用し、問題の特定や使用しているプログラミング言語・ライブラリの詳細な理解を深めてきました。

私がこれから述べる全てのツールを組み合わせて使用します：

• IntelliJ Intents は、一般的なコードの問題をすぐに発見するのに役立ちます。通常は関連するクイック修正です。
• SpotBugs は私が見逃す可能性のある単純なエラーを発見し、パフォーマンスの問題に注意を促してくれます。
• SonarLint は私が知らなかった Java の機能を見つけ、コードをモデル化する別の方法を使用するよう提案しました。
• CheckStyle は、合意されたコーディングスタイルを遵守するのに役立ち、このスタイルは CI 期間中も強制的に適用されます。
• Sensei 、静的解析ツールが検出する一般的なシナリオを強化するためのクイックフィックスのSensei 、他のツールでは設定が難しい特定のプロジェクトや技術ソリューションを作成します。

---

IntelliJ からSenseiをインストールするには、「環境設定\プラグイン」（Mac）または「設定\プラグイン」（Windows）を使用し、その後「sensei を検索するだけです。

Secure Code Warrior アカウントの「senseiプロジェクトで、サンプルコードと一般的なユースケースのレシピを格納したリポジトリを見つけることができます。

https://github.com/securecodewarrior/sensei-blog-examples

Sensei に関するSensei

組織のセキュリティ状態を改善する確実な方法は、高度な開発者にセキュリティコーディングのベストプラクティスにおけるスキルを習得させることです。これらのプラクティスには、ベンチマークやアーキテクチャ基準で提供される手法が含まれ、開発者に必要な体系的な学習経路を提供します。しかし、セキュリティコーディングは単発の解決策ではなく、組織のDNAに組み込まれるべき手法でなければなりません。開発者は単に左シフト（左移動）を行うだけでなく、左シフトを継続的に維持する必要があります。

単なる研修の提供だけでは不十分です。組織は、開発者が業務内容を完全に理解し、ソフトウェア開発ライフサイクル（SDLC）において日常業務の一部として実践することを確認する必要があります。従業員の効率性を追跡し、内部基準や業界ベンチマークに基づいて進捗を測定することで、研修投資のROIを効果的に評価することが可能となります。

セキュリティコードウォリアーメッセンジャースコアは、開発者に個人ユーザーの効率性に関する可視性を提供し、組織全体のシステムを評価するためのデータを集約します。これはハイテク計画における有効性の向上を示すと同時に、改善が必要な領域を特定します。さらに、GDPR（一般データ保護規則）、PCI DSS（支払いカード業界データセキュリティ基準）、CCPA（カリフォルニア州消費者プライバシー法）など、あらゆる規制要件への厳密な準拠を支援します。 （PCI DSS）、カリフォルニア州消費者プライバシー法（CCPA）その他の規制要件を厳密に遵守するための支援を提供します。

私たちの研究は、セキュリティコードトレーニングが効果的であることを示しています。Trust Scoreは、600以上の組織から25万人以上の研究者が業務から得た2000万を超える学習データポイントを活用したアルゴリズムを使用し、脆弱性の低減におけるその有効性と、プログラムの効果を高める方法を実証しています。

トレーニングは安全性を向上させます——もし開発者が白人同士の会話の中で

長年にわたり、ソフトウェア業界では、SDLCの初期段階からセキュリティのベストプラクティスを採用することが理想とされてきた。いずれは実現すべき目標ではあるが、今日の優先事項ではない。しかし、ソフトウェア開発の加速と、複雑化・破壊性を基盤とするサイバー脅威の急増（多くの場合、標的型ソフトウェア脆弱性を悪用したもの）により、セキュリティのエンコーディングが極めて重要となっている。サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、セキュリティコードを最優先かつ中核に位置づけ、設計段階でのセキュリティ確保を推進する取り組みを進めており、これは国際的な運動へと発展しつつある。 (CISA) は「設計によるセキュリティ保証」イニシアチブを通じて、セキュリティコードを最優先かつ中核に位置づけており、これは国際的な運動へと発展しつつある。

我々の研究は既にこの点を明らかにしている——安全設計手法とソフトウェア脆弱性削減後の相関関係は明白である。SCW顧客群の26％から得られた脆弱性削減データ（少量）を分析した結果、開発者向けミッションソフトウェアの脆弱性削減率は22％から84％の範囲に及ぶことが判明した。この幅は、対象企業の規模（大規模企業は比較的小規模企業よりも脆弱性が多いという結論）や学習グループが専門家であること（この場合、特定の課題に焦点を当てているため、欠陥の解消率がより高くなる）といった変数によって形成されている。

一方、大企業の業務は比較的安定している。開発者のセキュリティスキル向上により、7,000人以上の開発者を擁する企業では脆弱性が47％から53％減少すると予測される。例えば、平均的な企業（プラットフォーム上で特に優れておらず、ベンチマーク上位でもないとされる企業）と比較して、優秀な開発者を多数抱える企業では脆弱性が53％減少した。

当然、最も効果的なトレーニングは、広範で画一的な方法を採用するものではありません。それは開発者の作業環境や、彼らが従事する開発分野に基づいてカスタマイズされるべきです。

企業はまず、開発者が備えるべき基本スキルに関する覚書を策定し、安全なコードを書くことが通常のコーディングと同様に自然になるよう推進すべきである。スキル向上プログラムは、現実のシナリオで実践的なアジャイル操作を進化させる内容を含み、担当業務の種類や使用する言語に適合させる必要がある。また、インスピレーションを与える形で、トレーニングコースを業務スケジュールに組み込めるようにすべきである。

開発者にとって、この技術が統合できるのはプログラミングコードだけではありません。彼らは、AIアシスタントやサードパーティが作成したコンテンツ（オープンソースリポジトリなど）を検証できる手段を必要としています。開発者はすでに生成AIテンプレートの熱狂的な利用に成功しており、コードを迅速かつ大量に作成する上でその利点を広く称賛しています。しかし、Snykの調査では回答者の76%がAI生成コードは人間が作成したコードよりも適切であると回答した一方で、56.4%がAIは時折または頻繁にエラーを生成すると指摘しています。同調査では、80%の開発者がAIコードのセキュリティ対策を実施していないことが判明しており、AIコード内の問題が未解決のままであることを示唆しています。

Secure-by-Design手法を採用することで、開発者は（セキュリティチームと協力し、分離して作業するのではなく）SDLCの初期段階でこれらの問題を解決し、コードが本番環境に投入される前に欠陥を修正します。

信使評価は個人と企業の効率性を測定する

継続的なトレーニングも極めて重要です。企業は安全第一の文化を採用する必要があり、この文化は経営陣から現場スタッフまで全階層に適用されます。SDLC全体を通じて最適なセキュリティ実践を適用することで改善が図られます。技術とサイバー犯罪は進化を止めません。サイバーセキュリティも進化を止めるべきではありません。proscSoftwareにとって、セキュリティトレーニングを受けた開発者は基盤となる存在です。

これが、secremintunctrictrencTrics が無効になった理由であり、Zazagen とトレーニングが同等に重要である所以です。信頼スコアは開発者個人の効率性だけでなく組織全体の効率性を把握できるだけでなく、組織が効率性データを深く分析し、特定の言語、開発チーム、ソフトウェアカテゴリに焦点を当てられるようにします。個人からの 「効率性結論」と「集計」から得られる効果データは、改善が必要な領域を特定する上で有用です。例えば、トレーニングが開発者社員の日常業務に期待通りの影響を与えていない場合などが挙げられます。

Trust Scoreは、組織のエネルギースコアを用いて開発者スタッフの有効性を評価し、必要なセキュリティスキルを習得済みかつ活用しているかどうかを確認します。これにより、組織は信頼できる開発者に最も機密性の高いデータやソフトウェアの重要な権限へのアクセスを安心して許可できる一方、ツールを使用しているものの準備が整っていない開発者への権限付与を拒否することが可能になります。

絶えず変化する安全文化

サイバーセキュリティは単なる安全上の問題ではない。これはビジネス上の問題であり、多くの組織にとって最も貴重な資産（データ）の完全性に影響を及ぼす。深刻な脆弱性は組織の運営や評判を損ない、存続可能性さえ脅かす可能性がある。規制当局はサイバーセキュリティの重要性を軽視しておらず、ますます厳格な規制を実施し、最高情報セキュリティ責任者（CISO）やその他の上級管理職に対して警告を発する姿勢を示している。場合によっては刑事告発に至ることもあり、その例として以下のような事例が挙げられる：UberとSolarWinds。

現代の環境において、企業内の安全文化を調査することは極めて重要です。さらに、同社の多くの貴重な人材がデータ、アプリケーション、サービスを廃止した背景には、安全文化の中核要素である「安全意識」が存在します。対象を絞ったトレーニングとスキル向上は安全文化の構築に不可欠であり、変革を促すトレーニングと支援を組み合わせることで、組織は安全意識強化の道筋を歩むことができます。

開発者主導のセキュリティ計画は価値がある。その中にはメッセンジャーのスコアが含まれていると言われている。