2024年の予測:セキュリティ、AI、開発者の定着率、そして今後の展望
私たちは一年のうちでその時期を迎えました。起こったこと、起こると思っていたこと、起こらないと思っていたこと、学んだ教訓、期待していることをすべて振り返る時が、今後12か月間の意思決定、行動、結果を形作ります。
厳しい経済動向、新たなサイバーセキュリティの脅威、そしてこれまでで最も身近なAIの導入が、DevSecOpsにとって興味深い2023年を形作りました。さらに興味深いことに、ページをめくって2024年に向かうにあたり、これらの要素はどれも後ろ向きには映っていません。これらは組織、その開発チーム、サイバーセキュリティチーム、政府規制当局にとって最前線であり中心的な存在です。
優先順位が急速に変化する中、Secure Code Warriorが今後12か月間に展開すると予想する主な予測は次のとおりです。
組織は開発者の定着率を重視する
開発者は組織とその顧客に計り知れない価値をもたらします。今や組織の責任は、その価値を実証し、開発者が収益のために何ができるかを評価することです。開発者が現在の雇用主を長期的なキャリアの目標にするための権限を強化できるように、定着戦略、プログラム、その他の取り組みへの投資が増えるでしょう。こうした企業にとって、学習と能力開発は大きな差別化要因となるでしょう。
デベロッパーのタスクが増えるにつれて、コンテンツとインテグレーションが中心になります。
企業がより多くのソフトウェアと継続的なデジタルトランスフォーメーションをより早く顧客の手に届けることを望んでいることを知っているため、開発者に課せられたプレッシャーはすぐには収まりません。開発者が鋭敏な姿勢を保ち、ソフトウェア開発ライフサイクル (SDLC) における新たな障害を予測し、イノベーションを加速するためのより多くのリソースにアクセスするためには、より多くの学習コンテンツとサードパーティとの統合が最も重要になります。
AI ツールは新しいスタック・オーバーフローです
開発者がStack Overflowやオープンソースフォーラムに行って助けを求めるのと同じように、開発者はAIツールに目を向け始めるでしょう。しかし、これでは誤った安心感が生まれます。開発者はAIを「ヘルプチャネル」として使用しますが、組織はこのアプローチだけでは不十分であることに気付くでしょう。
AIレメディエーションはこれからも続く
明日、AIが開発者に取って代わるわけではありませんが、テクノロジーはソフトウェア開発ライフサイクル(SDLC)にますます組み込まれるようになり、脆弱性の導入を回避したり、互換性のある修正を特定したりするためのより確実なプロセスが生まれています。開発者の行動の変化、組織投資、人員配置の再配分、サイバーセキュリティリスク管理への新しいアプローチが必然的にもたらされる実験は、年間を通じてさらに多く行われることでしょう。
AI への依存 + API の爆発的な成長 = 規制対策
APIの作成と有効化が加速して事業を拡大している企業の数は、APIの脅威ベクトルを大幅に拡大しています。AI の使用により API の作成と起動の速度が飛躍的に向上する傾向にあるため、API セキュリティのガバナンスを強化することに重点を置く必要があります。また、新しい規制措置が導入されることも確実です。
安全なコードを提供しないソフトウェアベンダーにはさらに多くの影響があります
CISAディレクターのJen Easterlyは、ソフトウェアベンダーに許可すべきではないことをはっきりと明言しています。」お金を渡せ」製品内のセキュリティに関しては。CISA の権限は、連邦政府機関に販売するベンダーにセキュリティ・バイ・デザイン・プラクティスを実施するうえで役立っているに過ぎませんが、今年初めの MOVEit 事件により、大手ソフトウェアベンダーは新しいベンチマークを達成し、それを上回る必要があることが再確認されました。安全でないコードを発送する再犯者には、説明責任を強化し、より多くの罰則を課す必要があります。
2024年のOWASPトップ10は、設計上の欠陥に再び焦点を当てます
セキュア・バイ・デザインと言えば、2021年、OWASPは、アーキテクチャ上のセキュリティ問題と欠陥へのシフトに焦点を当てて、「安全でない設計」カテゴリを導入しました。今後のトップ10リスト(おそらく2024年)を見込んでいるため、重要な認証とアクセス制御構成をサポートする完全な脅威モデリング手順を含む、安全なソフトウェア開発ライフサイクル(SSDLC)を開発するチームに重点を置いて、安全でない設計と安全でない実装の違いについて、経営幹部レベルの会話が増えるでしょう。
DevSecOpsベンダーは、さまざまなエグゼクティブバイヤーをターゲットにするために、具体的なROIを証明する必要があります
競争の激しい販売サイクルで複数のグループに販売するには、ベンダーはビジネスのさまざまな分野に合わせて会話を調整する必要があります。従来、セキュリティベンダーは主に CISO やセキュリティリーダーに販売していました。2024 年には、セキュリティや CISO だけでなく、L&D や DevOps/AppSec の経営幹部を対象に、ますます具体的な状況においてリスク軽減を実証する必要性が高まるでしょう。
「ゲートキーピング」はソフトウェア開発におけるセキュリティ成熟への切符となる
CISOは、サイバーセキュリティへの取り組みのビジネス価値と、長期にわたるプログラムの有効性を証明するために、引き続き精査されています。機密性の高いリポジトリを含むプロジェクトを与えられる前に、開発者がセキュリティを認識していることを証明する必要性はますます高まるでしょう。「ゲートキーピング」標準を採用し、ソフトウェア作成プロセスの初めから安全なコーディングを優先するCISOは、優れたセキュリティを目指してチームをより適切に位置づけることができます。
事後対応型セキュリティは時代遅れと見なされるだろう
サイバーレジリエンスの向上という目標が、複数の業種にわたるサイバー戦略の主流であり続けているため、対応とインシデント対応のみを計画の核となる信条として頼りにしている企業は、容認できないリスクとリスクにさらされていることに気付くでしょう。「シフトレフト」は、急速に古くなりつつある流行語以上のものでなければなりません。コードレベルのセキュリティは、私たちが当たり前と思っているソフトウェアや重要なデジタルインフラストラクチャに取り組む開発者のスキルアップと能力の検証と並行して優先されるべきです。現在、政府も企業も、スタッフ全員が責任を分担できるようにする、予防的で意識の高いセキュリティプログラムに、これまで以上に取り組まなければなりません。
セキュア・コーディングの教育と実装のリーダーとして、私たちはこれからの1年間にワクワクしています。600人以上のお客様と協力して、これらの進化するダイナミクスを先取りしていきたいと考えています。2024年はどのようなものでしょうか?また、セキュア・コード・ウォリアーはどのように役立ちますか?
詳細を知りたいですか?X と LinkedIn をフォローして、すべての発表の最新情報を入手してください。
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
私たちは一年のうちでその時期を迎えました。起こったこと、起こると思っていたこと、起こらないと思っていたこと、学んだ教訓、期待していることをすべて振り返る時が、今後12か月間の意思決定、行動、結果を形作ります。
厳しい経済動向、新たなサイバーセキュリティの脅威、そしてこれまでで最も身近なAIの導入が、DevSecOpsにとって興味深い2023年を形作りました。さらに興味深いことに、ページをめくって2024年に向かうにあたり、これらの要素はどれも後ろ向きには映っていません。これらは組織、その開発チーム、サイバーセキュリティチーム、政府規制当局にとって最前線であり中心的な存在です。
優先順位が急速に変化する中、Secure Code Warriorが今後12か月間に展開すると予想する主な予測は次のとおりです。
組織は開発者の定着率を重視する
開発者は組織とその顧客に計り知れない価値をもたらします。今や組織の責任は、その価値を実証し、開発者が収益のために何ができるかを評価することです。開発者が現在の雇用主を長期的なキャリアの目標にするための権限を強化できるように、定着戦略、プログラム、その他の取り組みへの投資が増えるでしょう。こうした企業にとって、学習と能力開発は大きな差別化要因となるでしょう。
デベロッパーのタスクが増えるにつれて、コンテンツとインテグレーションが中心になります。
企業がより多くのソフトウェアと継続的なデジタルトランスフォーメーションをより早く顧客の手に届けることを望んでいることを知っているため、開発者に課せられたプレッシャーはすぐには収まりません。開発者が鋭敏な姿勢を保ち、ソフトウェア開発ライフサイクル (SDLC) における新たな障害を予測し、イノベーションを加速するためのより多くのリソースにアクセスするためには、より多くの学習コンテンツとサードパーティとの統合が最も重要になります。
AI ツールは新しいスタック・オーバーフローです
開発者がStack Overflowやオープンソースフォーラムに行って助けを求めるのと同じように、開発者はAIツールに目を向け始めるでしょう。しかし、これでは誤った安心感が生まれます。開発者はAIを「ヘルプチャネル」として使用しますが、組織はこのアプローチだけでは不十分であることに気付くでしょう。
AIレメディエーションはこれからも続く
明日、AIが開発者に取って代わるわけではありませんが、テクノロジーはソフトウェア開発ライフサイクル(SDLC)にますます組み込まれるようになり、脆弱性の導入を回避したり、互換性のある修正を特定したりするためのより確実なプロセスが生まれています。開発者の行動の変化、組織投資、人員配置の再配分、サイバーセキュリティリスク管理への新しいアプローチが必然的にもたらされる実験は、年間を通じてさらに多く行われることでしょう。
AI への依存 + API の爆発的な成長 = 規制対策
APIの作成と有効化が加速して事業を拡大している企業の数は、APIの脅威ベクトルを大幅に拡大しています。AI の使用により API の作成と起動の速度が飛躍的に向上する傾向にあるため、API セキュリティのガバナンスを強化することに重点を置く必要があります。また、新しい規制措置が導入されることも確実です。
安全なコードを提供しないソフトウェアベンダーにはさらに多くの影響があります
CISAディレクターのJen Easterlyは、ソフトウェアベンダーに許可すべきではないことをはっきりと明言しています。」お金を渡せ」製品内のセキュリティに関しては。CISA の権限は、連邦政府機関に販売するベンダーにセキュリティ・バイ・デザイン・プラクティスを実施するうえで役立っているに過ぎませんが、今年初めの MOVEit 事件により、大手ソフトウェアベンダーは新しいベンチマークを達成し、それを上回る必要があることが再確認されました。安全でないコードを発送する再犯者には、説明責任を強化し、より多くの罰則を課す必要があります。
2024年のOWASPトップ10は、設計上の欠陥に再び焦点を当てます
セキュア・バイ・デザインと言えば、2021年、OWASPは、アーキテクチャ上のセキュリティ問題と欠陥へのシフトに焦点を当てて、「安全でない設計」カテゴリを導入しました。今後のトップ10リスト(おそらく2024年)を見込んでいるため、重要な認証とアクセス制御構成をサポートする完全な脅威モデリング手順を含む、安全なソフトウェア開発ライフサイクル(SSDLC)を開発するチームに重点を置いて、安全でない設計と安全でない実装の違いについて、経営幹部レベルの会話が増えるでしょう。
DevSecOpsベンダーは、さまざまなエグゼクティブバイヤーをターゲットにするために、具体的なROIを証明する必要があります
競争の激しい販売サイクルで複数のグループに販売するには、ベンダーはビジネスのさまざまな分野に合わせて会話を調整する必要があります。従来、セキュリティベンダーは主に CISO やセキュリティリーダーに販売していました。2024 年には、セキュリティや CISO だけでなく、L&D や DevOps/AppSec の経営幹部を対象に、ますます具体的な状況においてリスク軽減を実証する必要性が高まるでしょう。
「ゲートキーピング」はソフトウェア開発におけるセキュリティ成熟への切符となる
CISOは、サイバーセキュリティへの取り組みのビジネス価値と、長期にわたるプログラムの有効性を証明するために、引き続き精査されています。機密性の高いリポジトリを含むプロジェクトを与えられる前に、開発者がセキュリティを認識していることを証明する必要性はますます高まるでしょう。「ゲートキーピング」標準を採用し、ソフトウェア作成プロセスの初めから安全なコーディングを優先するCISOは、優れたセキュリティを目指してチームをより適切に位置づけることができます。
事後対応型セキュリティは時代遅れと見なされるだろう
サイバーレジリエンスの向上という目標が、複数の業種にわたるサイバー戦略の主流であり続けているため、対応とインシデント対応のみを計画の核となる信条として頼りにしている企業は、容認できないリスクとリスクにさらされていることに気付くでしょう。「シフトレフト」は、急速に古くなりつつある流行語以上のものでなければなりません。コードレベルのセキュリティは、私たちが当たり前と思っているソフトウェアや重要なデジタルインフラストラクチャに取り組む開発者のスキルアップと能力の検証と並行して優先されるべきです。現在、政府も企業も、スタッフ全員が責任を分担できるようにする、予防的で意識の高いセキュリティプログラムに、これまで以上に取り組まなければなりません。
セキュア・コーディングの教育と実装のリーダーとして、私たちはこれからの1年間にワクワクしています。600人以上のお客様と協力して、これらの進化するダイナミクスを先取りしていきたいと考えています。2024年はどのようなものでしょうか?また、セキュア・コード・ウォリアーはどのように役立ちますか?
詳細を知りたいですか?X と LinkedIn をフォローして、すべての発表の最新情報を入手してください。
私たちは一年のうちでその時期を迎えました。起こったこと、起こると思っていたこと、起こらないと思っていたこと、学んだ教訓、期待していることをすべて振り返る時が、今後12か月間の意思決定、行動、結果を形作ります。
厳しい経済動向、新たなサイバーセキュリティの脅威、そしてこれまでで最も身近なAIの導入が、DevSecOpsにとって興味深い2023年を形作りました。さらに興味深いことに、ページをめくって2024年に向かうにあたり、これらの要素はどれも後ろ向きには映っていません。これらは組織、その開発チーム、サイバーセキュリティチーム、政府規制当局にとって最前線であり中心的な存在です。
優先順位が急速に変化する中、Secure Code Warriorが今後12か月間に展開すると予想する主な予測は次のとおりです。
組織は開発者の定着率を重視する
開発者は組織とその顧客に計り知れない価値をもたらします。今や組織の責任は、その価値を実証し、開発者が収益のために何ができるかを評価することです。開発者が現在の雇用主を長期的なキャリアの目標にするための権限を強化できるように、定着戦略、プログラム、その他の取り組みへの投資が増えるでしょう。こうした企業にとって、学習と能力開発は大きな差別化要因となるでしょう。
デベロッパーのタスクが増えるにつれて、コンテンツとインテグレーションが中心になります。
企業がより多くのソフトウェアと継続的なデジタルトランスフォーメーションをより早く顧客の手に届けることを望んでいることを知っているため、開発者に課せられたプレッシャーはすぐには収まりません。開発者が鋭敏な姿勢を保ち、ソフトウェア開発ライフサイクル (SDLC) における新たな障害を予測し、イノベーションを加速するためのより多くのリソースにアクセスするためには、より多くの学習コンテンツとサードパーティとの統合が最も重要になります。
AI ツールは新しいスタック・オーバーフローです
開発者がStack Overflowやオープンソースフォーラムに行って助けを求めるのと同じように、開発者はAIツールに目を向け始めるでしょう。しかし、これでは誤った安心感が生まれます。開発者はAIを「ヘルプチャネル」として使用しますが、組織はこのアプローチだけでは不十分であることに気付くでしょう。
AIレメディエーションはこれからも続く
明日、AIが開発者に取って代わるわけではありませんが、テクノロジーはソフトウェア開発ライフサイクル(SDLC)にますます組み込まれるようになり、脆弱性の導入を回避したり、互換性のある修正を特定したりするためのより確実なプロセスが生まれています。開発者の行動の変化、組織投資、人員配置の再配分、サイバーセキュリティリスク管理への新しいアプローチが必然的にもたらされる実験は、年間を通じてさらに多く行われることでしょう。
AI への依存 + API の爆発的な成長 = 規制対策
APIの作成と有効化が加速して事業を拡大している企業の数は、APIの脅威ベクトルを大幅に拡大しています。AI の使用により API の作成と起動の速度が飛躍的に向上する傾向にあるため、API セキュリティのガバナンスを強化することに重点を置く必要があります。また、新しい規制措置が導入されることも確実です。
安全なコードを提供しないソフトウェアベンダーにはさらに多くの影響があります
CISAディレクターのJen Easterlyは、ソフトウェアベンダーに許可すべきではないことをはっきりと明言しています。」お金を渡せ」製品内のセキュリティに関しては。CISA の権限は、連邦政府機関に販売するベンダーにセキュリティ・バイ・デザイン・プラクティスを実施するうえで役立っているに過ぎませんが、今年初めの MOVEit 事件により、大手ソフトウェアベンダーは新しいベンチマークを達成し、それを上回る必要があることが再確認されました。安全でないコードを発送する再犯者には、説明責任を強化し、より多くの罰則を課す必要があります。
2024年のOWASPトップ10は、設計上の欠陥に再び焦点を当てます
セキュア・バイ・デザインと言えば、2021年、OWASPは、アーキテクチャ上のセキュリティ問題と欠陥へのシフトに焦点を当てて、「安全でない設計」カテゴリを導入しました。今後のトップ10リスト(おそらく2024年)を見込んでいるため、重要な認証とアクセス制御構成をサポートする完全な脅威モデリング手順を含む、安全なソフトウェア開発ライフサイクル(SSDLC)を開発するチームに重点を置いて、安全でない設計と安全でない実装の違いについて、経営幹部レベルの会話が増えるでしょう。
DevSecOpsベンダーは、さまざまなエグゼクティブバイヤーをターゲットにするために、具体的なROIを証明する必要があります
競争の激しい販売サイクルで複数のグループに販売するには、ベンダーはビジネスのさまざまな分野に合わせて会話を調整する必要があります。従来、セキュリティベンダーは主に CISO やセキュリティリーダーに販売していました。2024 年には、セキュリティや CISO だけでなく、L&D や DevOps/AppSec の経営幹部を対象に、ますます具体的な状況においてリスク軽減を実証する必要性が高まるでしょう。
「ゲートキーピング」はソフトウェア開発におけるセキュリティ成熟への切符となる
CISOは、サイバーセキュリティへの取り組みのビジネス価値と、長期にわたるプログラムの有効性を証明するために、引き続き精査されています。機密性の高いリポジトリを含むプロジェクトを与えられる前に、開発者がセキュリティを認識していることを証明する必要性はますます高まるでしょう。「ゲートキーピング」標準を採用し、ソフトウェア作成プロセスの初めから安全なコーディングを優先するCISOは、優れたセキュリティを目指してチームをより適切に位置づけることができます。
事後対応型セキュリティは時代遅れと見なされるだろう
サイバーレジリエンスの向上という目標が、複数の業種にわたるサイバー戦略の主流であり続けているため、対応とインシデント対応のみを計画の核となる信条として頼りにしている企業は、容認できないリスクとリスクにさらされていることに気付くでしょう。「シフトレフト」は、急速に古くなりつつある流行語以上のものでなければなりません。コードレベルのセキュリティは、私たちが当たり前と思っているソフトウェアや重要なデジタルインフラストラクチャに取り組む開発者のスキルアップと能力の検証と並行して優先されるべきです。現在、政府も企業も、スタッフ全員が責任を分担できるようにする、予防的で意識の高いセキュリティプログラムに、これまで以上に取り組まなければなりません。
セキュア・コーディングの教育と実装のリーダーとして、私たちはこれからの1年間にワクワクしています。600人以上のお客様と協力して、これらの進化するダイナミクスを先取りしていきたいと考えています。2024年はどのようなものでしょうか?また、セキュア・コード・ウォリアーはどのように役立ちますか?
詳細を知りたいですか?X と LinkedIn をフォローして、すべての発表の最新情報を入手してください。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示Secure Code Warrior让安全编码成为一种积极而富有吸引力的体验,随着开发者技能的提升而不断进阶。它引导每位程序员踏上他们期望的学习之路,使具备安全技能的开发者能够在互联世界中成为日常的超级英雄。
本文由Secure Code Warrior的行业专家团队撰写,旨在帮助开发者掌握从零开始构建安全软件的知识与技能。我们运用了关于安全编码实践的深厚专业知识、行业动态以及现实世界的洞察。
私たちは一年のうちでその時期を迎えました。起こったこと、起こると思っていたこと、起こらないと思っていたこと、学んだ教訓、期待していることをすべて振り返る時が、今後12か月間の意思決定、行動、結果を形作ります。
厳しい経済動向、新たなサイバーセキュリティの脅威、そしてこれまでで最も身近なAIの導入が、DevSecOpsにとって興味深い2023年を形作りました。さらに興味深いことに、ページをめくって2024年に向かうにあたり、これらの要素はどれも後ろ向きには映っていません。これらは組織、その開発チーム、サイバーセキュリティチーム、政府規制当局にとって最前線であり中心的な存在です。
優先順位が急速に変化する中、Secure Code Warriorが今後12か月間に展開すると予想する主な予測は次のとおりです。
組織は開発者の定着率を重視する
開発者は組織とその顧客に計り知れない価値をもたらします。今や組織の責任は、その価値を実証し、開発者が収益のために何ができるかを評価することです。開発者が現在の雇用主を長期的なキャリアの目標にするための権限を強化できるように、定着戦略、プログラム、その他の取り組みへの投資が増えるでしょう。こうした企業にとって、学習と能力開発は大きな差別化要因となるでしょう。
デベロッパーのタスクが増えるにつれて、コンテンツとインテグレーションが中心になります。
企業がより多くのソフトウェアと継続的なデジタルトランスフォーメーションをより早く顧客の手に届けることを望んでいることを知っているため、開発者に課せられたプレッシャーはすぐには収まりません。開発者が鋭敏な姿勢を保ち、ソフトウェア開発ライフサイクル (SDLC) における新たな障害を予測し、イノベーションを加速するためのより多くのリソースにアクセスするためには、より多くの学習コンテンツとサードパーティとの統合が最も重要になります。
AI ツールは新しいスタック・オーバーフローです
開発者がStack Overflowやオープンソースフォーラムに行って助けを求めるのと同じように、開発者はAIツールに目を向け始めるでしょう。しかし、これでは誤った安心感が生まれます。開発者はAIを「ヘルプチャネル」として使用しますが、組織はこのアプローチだけでは不十分であることに気付くでしょう。
AIレメディエーションはこれからも続く
明日、AIが開発者に取って代わるわけではありませんが、テクノロジーはソフトウェア開発ライフサイクル(SDLC)にますます組み込まれるようになり、脆弱性の導入を回避したり、互換性のある修正を特定したりするためのより確実なプロセスが生まれています。開発者の行動の変化、組織投資、人員配置の再配分、サイバーセキュリティリスク管理への新しいアプローチが必然的にもたらされる実験は、年間を通じてさらに多く行われることでしょう。
AI への依存 + API の爆発的な成長 = 規制対策
APIの作成と有効化が加速して事業を拡大している企業の数は、APIの脅威ベクトルを大幅に拡大しています。AI の使用により API の作成と起動の速度が飛躍的に向上する傾向にあるため、API セキュリティのガバナンスを強化することに重点を置く必要があります。また、新しい規制措置が導入されることも確実です。
安全なコードを提供しないソフトウェアベンダーにはさらに多くの影響があります
CISAディレクターのJen Easterlyは、ソフトウェアベンダーに許可すべきではないことをはっきりと明言しています。」お金を渡せ」製品内のセキュリティに関しては。CISA の権限は、連邦政府機関に販売するベンダーにセキュリティ・バイ・デザイン・プラクティスを実施するうえで役立っているに過ぎませんが、今年初めの MOVEit 事件により、大手ソフトウェアベンダーは新しいベンチマークを達成し、それを上回る必要があることが再確認されました。安全でないコードを発送する再犯者には、説明責任を強化し、より多くの罰則を課す必要があります。
2024年のOWASPトップ10は、設計上の欠陥に再び焦点を当てます
セキュア・バイ・デザインと言えば、2021年、OWASPは、アーキテクチャ上のセキュリティ問題と欠陥へのシフトに焦点を当てて、「安全でない設計」カテゴリを導入しました。今後のトップ10リスト(おそらく2024年)を見込んでいるため、重要な認証とアクセス制御構成をサポートする完全な脅威モデリング手順を含む、安全なソフトウェア開発ライフサイクル(SSDLC)を開発するチームに重点を置いて、安全でない設計と安全でない実装の違いについて、経営幹部レベルの会話が増えるでしょう。
DevSecOpsベンダーは、さまざまなエグゼクティブバイヤーをターゲットにするために、具体的なROIを証明する必要があります
競争の激しい販売サイクルで複数のグループに販売するには、ベンダーはビジネスのさまざまな分野に合わせて会話を調整する必要があります。従来、セキュリティベンダーは主に CISO やセキュリティリーダーに販売していました。2024 年には、セキュリティや CISO だけでなく、L&D や DevOps/AppSec の経営幹部を対象に、ますます具体的な状況においてリスク軽減を実証する必要性が高まるでしょう。
「ゲートキーピング」はソフトウェア開発におけるセキュリティ成熟への切符となる
CISOは、サイバーセキュリティへの取り組みのビジネス価値と、長期にわたるプログラムの有効性を証明するために、引き続き精査されています。機密性の高いリポジトリを含むプロジェクトを与えられる前に、開発者がセキュリティを認識していることを証明する必要性はますます高まるでしょう。「ゲートキーピング」標準を採用し、ソフトウェア作成プロセスの初めから安全なコーディングを優先するCISOは、優れたセキュリティを目指してチームをより適切に位置づけることができます。
事後対応型セキュリティは時代遅れと見なされるだろう
サイバーレジリエンスの向上という目標が、複数の業種にわたるサイバー戦略の主流であり続けているため、対応とインシデント対応のみを計画の核となる信条として頼りにしている企業は、容認できないリスクとリスクにさらされていることに気付くでしょう。「シフトレフト」は、急速に古くなりつつある流行語以上のものでなければなりません。コードレベルのセキュリティは、私たちが当たり前と思っているソフトウェアや重要なデジタルインフラストラクチャに取り組む開発者のスキルアップと能力の検証と並行して優先されるべきです。現在、政府も企業も、スタッフ全員が責任を分担できるようにする、予防的で意識の高いセキュリティプログラムに、これまで以上に取り組まなければなりません。
セキュア・コーディングの教育と実装のリーダーとして、私たちはこれからの1年間にワクワクしています。600人以上のお客様と協力して、これらの進化するダイナミクスを先取りしていきたいと考えています。2024年はどのようなものでしょうか?また、セキュア・コード・ウォリアーはどのように役立ちますか?
詳細を知りたいですか?X と LinkedIn をフォローして、すべての発表の最新情報を入手してください。
%20(1).avif)
.avif)
