優秀なDevSecOpsエンジニアになる方法
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
世界はウォーターフォール、アジャイル、そして今はDevOpsに移行し始めています。では、次の解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]
%20(1).avif)
.avif)
