退屈なPCI-DSSコンプライアンスを誰にとっても有意義な取り組みに変える:パート1-AppSec
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
