開発者トーナメント:セキュリティ文化とエンゲージメントを向上させるためのAppSecの秘密兵器
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
%20(1).avif)
.avif)
