開発者にインセンティブを与えることは、より良いセキュリティ慣行の鍵です
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
首席执行官、主席和联合创始人
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
首席执行官、主席和联合创始人
Pieter Danhieux是全球公认的安全专家,拥有超过12年的安全顾问经验,并在SANS担任首席讲师8年,教授如何针对和评估组织、系统和个人的安全弱点的攻击性技术。2016年,他被评为澳大利亚最酷的科技人士之一(Business Insider),被授予年度网络安全专业人士(AISA - 澳大利亚信息安全协会),并持有GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA认证。
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
%20(1).avif)
.avif)
