ストライク・ファースト・ストライク・ハード:キュレーションされたセキュア・コーディング・コースがサイバー脅威に容赦を与えない理由
世の中には、政府、大企業、さらには一部の業界リーダーによって見過ごされがちな、不都合な真実があります。社会として、私たちはサイバー脅威との絶え間ない戦いを続けており、現在は負けています。これをどうやって知ることができるのでしょう?これらの統計は冷静な物語を語っています。
- サイバー犯罪の被害は世界規模で発生すると推定されています 2021年までに6兆米ドル
- サイバー攻撃が発生する 39 秒ごと
- データ漏えいの 24% ヒューマンエラーが原因です
- そして憂慮すべき 77% の組織 してはいけない サイバーセキュリティインシデント対応計画を立てる これは企業全体に広がり、部門間で一貫して適用されます。
サイバーセキュリティの専門家に関しては、人員が非常に不足しています。スキルギャップが埋められる可能性は低く、秘密のアプリケーションセキュリティ部隊が私たちを救済してくれることもありません。私たちはこのことを何年も前から知っていたので、アプローチを変えなければなりません。私たちの場合、最善の攻撃は優れた防御であり、良い計画を立てれば最初に攻撃できます。
これはすべて少し気のめいるように聞こえますが、一部の人が信じているほど悪くはありません。私たちには絶好のチャンスがあり、サイバーセキュリティ環境は私たちに絶好の機会をもたらしています。組織を救うためにやってくる人材を社内の開発チーム以外に探す必要はありませんが、セキュリティプログラムは、セキュアなコーディングの責任を分担する準備ができているセキュリティ意識の高いエンジニアになるまでの道のりを支える必要があります。
古いトレーニングでは役に立たない -確かに十分言ってきましたが、関与し、状況に応じた知識を構築し、開発者がセキュリティを気に入るのに役立つ適切なトレーニングでさえ、ビジネスのニーズ、直面する脅威、および企業がすべてのデータを安全に保つのに役立つコンプライアンス要件に合わせてより厳選されていれば、はるかに効果的になる可能性があります。
そこで、私たちの最新機能が コース、出てくる。ところで、タイトルに参考文献があるなら、あなたは公式に年をとっている(または単にクラシックを高く評価している)ということです。
組織に特化した学習:防御策の構築、開発者のスキルの強化
私たちは持っています あらゆる種類の意見 あるタイプの開発者向けトレーニングが他のタイプよりも優れている理由について (つまり、何時間にもわたる辛口で一般的なビデオ説教に飽き飽きさせず、安全なコーディングへの情熱が花開くことを期待してください)。しかし、開発者のマインドセットに訴えるように設計された競争学習があっても、内容は組織内の特定の要件に必要な範囲よりも少し広い場合があります。
開発者が習熟度を示す必要のあるモジュールを正確に含む厳選されたコースは大きな効果をもたらし、日常業務におけるセキュリティのベストプラクティスをすぐに使いこなせるようになります。最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げることができるため、フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズできます。開発者は継続的なコンテキスト、タッチポイント、経験を積むことでスキルを高め、企業にとって最もリスクの高い問題を正確に認識できるというメリットが得られます。
コンプライアンスに合わせてコースをカスタマイズ
世界中でより厳しいサイバーセキュリティ関連の規制が課されており、ソフトウェアセキュリティコンプライアンスは、前向きで効果的なセキュリティ文化を構築するための優れた基盤です。つまらないものであってはなりません。優れたセキュリティプログラムは、うめき声や顔をしかめるのではなく、開発者の誇りと責任感を刺激します。
出発点として、OWASP Top 10について全員に理解してもらうことは非常に良い考えですが、業界関連のコンプライアンスを新たな高みに到達させるには、特定の規制の要件に合わせてカスタムコースを設計できます。たとえば、金融機関は、自社のソフトウェアのコンプライアンス要件に合わせて、次のようなコースをカスタマイズできます。 PCI-DSS ガイドライン 支払いおよびカード処理アプリケーションを管理します。クレジットカード番号などの機密情報の処理と保存を担当する場合、リスクは大きく、開発者の学習で非常に具体的に取り組むことで、ノイズがなくなり、適切な教育を適切なタイミングで提供し、チームの適性をはるかに簡単に監視できるようになります。
ゼネラルエレクトリック(GE)がチーム内でコースを使用する方法は次のとおりです。
「コースは当社のエンジニアにとって素晴らしいソリューションです。学習経路、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめる新機能により、いつでも必要な内容に基づいてコンテンツを作成できます。コンプライアンス機能と柔軟性により、プロセスをより合理的かつ柔軟にする機会がさらに広がります。この機能により、General Electric社は各エンジニアに関連するトレーニングをこれまで以上に迅速かつ簡単に調整できるようになりました。」
また、厳選されたコンプライアンストレーニングであっても、開発者にとってはるかに魅力的な、一口サイズで状況に応じた魅力的な学習体験として提供されていることも忘れないでください。
敬意と妥当性に基づいたポジティブなセキュリティ文化
教育は生涯続くプロセスですが、DevSecOpsの慌ただしい世界では、検討すべきことがたくさんあります。トレーニングのために確保した時間を賢く使い、継続してエンゲージメントを高め、価値を付加できる実行可能な学習パスを用意する必要があります。
関連性の高いカスタムコースをキュレーションすることで、開発者の時間とワークフローを尊重すると同時に、ビジネスの脆弱性とサイバーセキュリティリスクの測定可能な削減に取り組むことができます。
AppSecスペシャリストとエンジニアの関係は、これまで誤解や緊張に満ちていましたが、コースを使った体系的な学習により、双方がセキュリティのベストプラクティスについて同じ認識を持つことができます。開発者は、負荷を最小限に抑え、より高水準のコードを作成するのに役立つ、AppSecチームによるソリューション重視の支援を気に入るはずです。
弱点を排除し、企業レベルのセキュリティ衛生を強化
私たちは皆人間ですが、残念ながら間違いを犯します。これらの間違いは、デジタルの世界では非常にコストがかかる可能性がありますが、驚くほどよくあることです。シマンテックの 2019 年インターネットセキュリティ脅威レポート S3 バケットの設定ミスにより、7,000万件を超えるレコードが盗まれたことを確認しました。セキュリティの設定ミスはデータ漏えいの主な原因であり、ヒューマンエラーが原因となっています。 その約4分の1は。
このような問題が発生する理由はさまざまですが、セキュリティ意識の欠如とトレーニングの欠如が、攻撃者が悪用できる小さな機会が開かれたままになる大きな要因となっています。影響をもたらすスケーラブルなセキュリティ衛生管理を実現するには、お客様のビジネスに合わせてカスタムメイドのコースを受講して、それを価値あるものにする必要があります。敵に容赦を示さず、遭遇しそうな最大の頭痛の種となるあらゆる機会を遮断してください。
この大手クラウドベースの会計SaaSプロバイダーを含め、クライアントにはすでに驚くべき影響が見られます。
「コースに合わせた学習経路は、画期的な変化をもたらしました。プログラミング言語の特殊性と脆弱性により、個人や企業のニーズに基づいて、各開発者に適切な学習体験を提供するための制御と柔軟性が向上しました。Secure Code Warriorの幅広い安全なコーディングプラットフォームとコースを組み合わせて使用したことで、開発者のエンゲージメントが一変しました。開発者は、より適切で安全なコードを書くために、安全なコーディングスキルを高めることへの関心が高まっているからです。」
DevSec の準備を整えましょう。セキュア・コード・ウォリアーズのまったく新しいコース機能の詳細をご覧ください ここに。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
世の中には、政府、大企業、さらには一部の業界リーダーによって見過ごされがちな、不都合な真実があります。社会として、私たちはサイバー脅威との絶え間ない戦いを続けており、現在は負けています。これをどうやって知ることができるのでしょう?これらの統計は冷静な物語を語っています。
- サイバー犯罪の被害は世界規模で発生すると推定されています 2021年までに6兆米ドル
- サイバー攻撃が発生する 39 秒ごと
- データ漏えいの 24% ヒューマンエラーが原因です
- そして憂慮すべき 77% の組織 してはいけない サイバーセキュリティインシデント対応計画を立てる これは企業全体に広がり、部門間で一貫して適用されます。
サイバーセキュリティの専門家に関しては、人員が非常に不足しています。スキルギャップが埋められる可能性は低く、秘密のアプリケーションセキュリティ部隊が私たちを救済してくれることもありません。私たちはこのことを何年も前から知っていたので、アプローチを変えなければなりません。私たちの場合、最善の攻撃は優れた防御であり、良い計画を立てれば最初に攻撃できます。
これはすべて少し気のめいるように聞こえますが、一部の人が信じているほど悪くはありません。私たちには絶好のチャンスがあり、サイバーセキュリティ環境は私たちに絶好の機会をもたらしています。組織を救うためにやってくる人材を社内の開発チーム以外に探す必要はありませんが、セキュリティプログラムは、セキュアなコーディングの責任を分担する準備ができているセキュリティ意識の高いエンジニアになるまでの道のりを支える必要があります。
古いトレーニングでは役に立たない -確かに十分言ってきましたが、関与し、状況に応じた知識を構築し、開発者がセキュリティを気に入るのに役立つ適切なトレーニングでさえ、ビジネスのニーズ、直面する脅威、および企業がすべてのデータを安全に保つのに役立つコンプライアンス要件に合わせてより厳選されていれば、はるかに効果的になる可能性があります。
そこで、私たちの最新機能が コース、出てくる。ところで、タイトルに参考文献があるなら、あなたは公式に年をとっている(または単にクラシックを高く評価している)ということです。
組織に特化した学習:防御策の構築、開発者のスキルの強化
私たちは持っています あらゆる種類の意見 あるタイプの開発者向けトレーニングが他のタイプよりも優れている理由について (つまり、何時間にもわたる辛口で一般的なビデオ説教に飽き飽きさせず、安全なコーディングへの情熱が花開くことを期待してください)。しかし、開発者のマインドセットに訴えるように設計された競争学習があっても、内容は組織内の特定の要件に必要な範囲よりも少し広い場合があります。
開発者が習熟度を示す必要のあるモジュールを正確に含む厳選されたコースは大きな効果をもたらし、日常業務におけるセキュリティのベストプラクティスをすぐに使いこなせるようになります。最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げることができるため、フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズできます。開発者は継続的なコンテキスト、タッチポイント、経験を積むことでスキルを高め、企業にとって最もリスクの高い問題を正確に認識できるというメリットが得られます。
コンプライアンスに合わせてコースをカスタマイズ
世界中でより厳しいサイバーセキュリティ関連の規制が課されており、ソフトウェアセキュリティコンプライアンスは、前向きで効果的なセキュリティ文化を構築するための優れた基盤です。つまらないものであってはなりません。優れたセキュリティプログラムは、うめき声や顔をしかめるのではなく、開発者の誇りと責任感を刺激します。
出発点として、OWASP Top 10について全員に理解してもらうことは非常に良い考えですが、業界関連のコンプライアンスを新たな高みに到達させるには、特定の規制の要件に合わせてカスタムコースを設計できます。たとえば、金融機関は、自社のソフトウェアのコンプライアンス要件に合わせて、次のようなコースをカスタマイズできます。 PCI-DSS ガイドライン 支払いおよびカード処理アプリケーションを管理します。クレジットカード番号などの機密情報の処理と保存を担当する場合、リスクは大きく、開発者の学習で非常に具体的に取り組むことで、ノイズがなくなり、適切な教育を適切なタイミングで提供し、チームの適性をはるかに簡単に監視できるようになります。
ゼネラルエレクトリック(GE)がチーム内でコースを使用する方法は次のとおりです。
「コースは当社のエンジニアにとって素晴らしいソリューションです。学習経路、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめる新機能により、いつでも必要な内容に基づいてコンテンツを作成できます。コンプライアンス機能と柔軟性により、プロセスをより合理的かつ柔軟にする機会がさらに広がります。この機能により、General Electric社は各エンジニアに関連するトレーニングをこれまで以上に迅速かつ簡単に調整できるようになりました。」
また、厳選されたコンプライアンストレーニングであっても、開発者にとってはるかに魅力的な、一口サイズで状況に応じた魅力的な学習体験として提供されていることも忘れないでください。
敬意と妥当性に基づいたポジティブなセキュリティ文化
教育は生涯続くプロセスですが、DevSecOpsの慌ただしい世界では、検討すべきことがたくさんあります。トレーニングのために確保した時間を賢く使い、継続してエンゲージメントを高め、価値を付加できる実行可能な学習パスを用意する必要があります。
関連性の高いカスタムコースをキュレーションすることで、開発者の時間とワークフローを尊重すると同時に、ビジネスの脆弱性とサイバーセキュリティリスクの測定可能な削減に取り組むことができます。
AppSecスペシャリストとエンジニアの関係は、これまで誤解や緊張に満ちていましたが、コースを使った体系的な学習により、双方がセキュリティのベストプラクティスについて同じ認識を持つことができます。開発者は、負荷を最小限に抑え、より高水準のコードを作成するのに役立つ、AppSecチームによるソリューション重視の支援を気に入るはずです。
弱点を排除し、企業レベルのセキュリティ衛生を強化
私たちは皆人間ですが、残念ながら間違いを犯します。これらの間違いは、デジタルの世界では非常にコストがかかる可能性がありますが、驚くほどよくあることです。シマンテックの 2019 年インターネットセキュリティ脅威レポート S3 バケットの設定ミスにより、7,000万件を超えるレコードが盗まれたことを確認しました。セキュリティの設定ミスはデータ漏えいの主な原因であり、ヒューマンエラーが原因となっています。 その約4分の1は。
このような問題が発生する理由はさまざまですが、セキュリティ意識の欠如とトレーニングの欠如が、攻撃者が悪用できる小さな機会が開かれたままになる大きな要因となっています。影響をもたらすスケーラブルなセキュリティ衛生管理を実現するには、お客様のビジネスに合わせてカスタムメイドのコースを受講して、それを価値あるものにする必要があります。敵に容赦を示さず、遭遇しそうな最大の頭痛の種となるあらゆる機会を遮断してください。
この大手クラウドベースの会計SaaSプロバイダーを含め、クライアントにはすでに驚くべき影響が見られます。
「コースに合わせた学習経路は、画期的な変化をもたらしました。プログラミング言語の特殊性と脆弱性により、個人や企業のニーズに基づいて、各開発者に適切な学習体験を提供するための制御と柔軟性が向上しました。Secure Code Warriorの幅広い安全なコーディングプラットフォームとコースを組み合わせて使用したことで、開発者のエンゲージメントが一変しました。開発者は、より適切で安全なコードを書くために、安全なコーディングスキルを高めることへの関心が高まっているからです。」
DevSec の準備を整えましょう。セキュア・コード・ウォリアーズのまったく新しいコース機能の詳細をご覧ください ここに。
世の中には、政府、大企業、さらには一部の業界リーダーによって見過ごされがちな、不都合な真実があります。社会として、私たちはサイバー脅威との絶え間ない戦いを続けており、現在は負けています。これをどうやって知ることができるのでしょう?これらの統計は冷静な物語を語っています。
- サイバー犯罪の被害は世界規模で発生すると推定されています 2021年までに6兆米ドル
- サイバー攻撃が発生する 39 秒ごと
- データ漏えいの 24% ヒューマンエラーが原因です
- そして憂慮すべき 77% の組織 してはいけない サイバーセキュリティインシデント対応計画を立てる これは企業全体に広がり、部門間で一貫して適用されます。
サイバーセキュリティの専門家に関しては、人員が非常に不足しています。スキルギャップが埋められる可能性は低く、秘密のアプリケーションセキュリティ部隊が私たちを救済してくれることもありません。私たちはこのことを何年も前から知っていたので、アプローチを変えなければなりません。私たちの場合、最善の攻撃は優れた防御であり、良い計画を立てれば最初に攻撃できます。
これはすべて少し気のめいるように聞こえますが、一部の人が信じているほど悪くはありません。私たちには絶好のチャンスがあり、サイバーセキュリティ環境は私たちに絶好の機会をもたらしています。組織を救うためにやってくる人材を社内の開発チーム以外に探す必要はありませんが、セキュリティプログラムは、セキュアなコーディングの責任を分担する準備ができているセキュリティ意識の高いエンジニアになるまでの道のりを支える必要があります。
古いトレーニングでは役に立たない -確かに十分言ってきましたが、関与し、状況に応じた知識を構築し、開発者がセキュリティを気に入るのに役立つ適切なトレーニングでさえ、ビジネスのニーズ、直面する脅威、および企業がすべてのデータを安全に保つのに役立つコンプライアンス要件に合わせてより厳選されていれば、はるかに効果的になる可能性があります。
そこで、私たちの最新機能が コース、出てくる。ところで、タイトルに参考文献があるなら、あなたは公式に年をとっている(または単にクラシックを高く評価している)ということです。
組織に特化した学習:防御策の構築、開発者のスキルの強化
私たちは持っています あらゆる種類の意見 あるタイプの開発者向けトレーニングが他のタイプよりも優れている理由について (つまり、何時間にもわたる辛口で一般的なビデオ説教に飽き飽きさせず、安全なコーディングへの情熱が花開くことを期待してください)。しかし、開発者のマインドセットに訴えるように設計された競争学習があっても、内容は組織内の特定の要件に必要な範囲よりも少し広い場合があります。
開発者が習熟度を示す必要のあるモジュールを正確に含む厳選されたコースは大きな効果をもたらし、日常業務におけるセキュリティのベストプラクティスをすぐに使いこなせるようになります。最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げることができるため、フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズできます。開発者は継続的なコンテキスト、タッチポイント、経験を積むことでスキルを高め、企業にとって最もリスクの高い問題を正確に認識できるというメリットが得られます。
コンプライアンスに合わせてコースをカスタマイズ
世界中でより厳しいサイバーセキュリティ関連の規制が課されており、ソフトウェアセキュリティコンプライアンスは、前向きで効果的なセキュリティ文化を構築するための優れた基盤です。つまらないものであってはなりません。優れたセキュリティプログラムは、うめき声や顔をしかめるのではなく、開発者の誇りと責任感を刺激します。
出発点として、OWASP Top 10について全員に理解してもらうことは非常に良い考えですが、業界関連のコンプライアンスを新たな高みに到達させるには、特定の規制の要件に合わせてカスタムコースを設計できます。たとえば、金融機関は、自社のソフトウェアのコンプライアンス要件に合わせて、次のようなコースをカスタマイズできます。 PCI-DSS ガイドライン 支払いおよびカード処理アプリケーションを管理します。クレジットカード番号などの機密情報の処理と保存を担当する場合、リスクは大きく、開発者の学習で非常に具体的に取り組むことで、ノイズがなくなり、適切な教育を適切なタイミングで提供し、チームの適性をはるかに簡単に監視できるようになります。
ゼネラルエレクトリック(GE)がチーム内でコースを使用する方法は次のとおりです。
「コースは当社のエンジニアにとって素晴らしいソリューションです。学習経路、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめる新機能により、いつでも必要な内容に基づいてコンテンツを作成できます。コンプライアンス機能と柔軟性により、プロセスをより合理的かつ柔軟にする機会がさらに広がります。この機能により、General Electric社は各エンジニアに関連するトレーニングをこれまで以上に迅速かつ簡単に調整できるようになりました。」
また、厳選されたコンプライアンストレーニングであっても、開発者にとってはるかに魅力的な、一口サイズで状況に応じた魅力的な学習体験として提供されていることも忘れないでください。
敬意と妥当性に基づいたポジティブなセキュリティ文化
教育は生涯続くプロセスですが、DevSecOpsの慌ただしい世界では、検討すべきことがたくさんあります。トレーニングのために確保した時間を賢く使い、継続してエンゲージメントを高め、価値を付加できる実行可能な学習パスを用意する必要があります。
関連性の高いカスタムコースをキュレーションすることで、開発者の時間とワークフローを尊重すると同時に、ビジネスの脆弱性とサイバーセキュリティリスクの測定可能な削減に取り組むことができます。
AppSecスペシャリストとエンジニアの関係は、これまで誤解や緊張に満ちていましたが、コースを使った体系的な学習により、双方がセキュリティのベストプラクティスについて同じ認識を持つことができます。開発者は、負荷を最小限に抑え、より高水準のコードを作成するのに役立つ、AppSecチームによるソリューション重視の支援を気に入るはずです。
弱点を排除し、企業レベルのセキュリティ衛生を強化
私たちは皆人間ですが、残念ながら間違いを犯します。これらの間違いは、デジタルの世界では非常にコストがかかる可能性がありますが、驚くほどよくあることです。シマンテックの 2019 年インターネットセキュリティ脅威レポート S3 バケットの設定ミスにより、7,000万件を超えるレコードが盗まれたことを確認しました。セキュリティの設定ミスはデータ漏えいの主な原因であり、ヒューマンエラーが原因となっています。 その約4分の1は。
このような問題が発生する理由はさまざまですが、セキュリティ意識の欠如とトレーニングの欠如が、攻撃者が悪用できる小さな機会が開かれたままになる大きな要因となっています。影響をもたらすスケーラブルなセキュリティ衛生管理を実現するには、お客様のビジネスに合わせてカスタムメイドのコースを受講して、それを価値あるものにする必要があります。敵に容赦を示さず、遭遇しそうな最大の頭痛の種となるあらゆる機会を遮断してください。
この大手クラウドベースの会計SaaSプロバイダーを含め、クライアントにはすでに驚くべき影響が見られます。
「コースに合わせた学習経路は、画期的な変化をもたらしました。プログラミング言語の特殊性と脆弱性により、個人や企業のニーズに基づいて、各開発者に適切な学習体験を提供するための制御と柔軟性が向上しました。Secure Code Warriorの幅広い安全なコーディングプラットフォームとコースを組み合わせて使用したことで、開発者のエンゲージメントが一変しました。開発者は、より適切で安全なコードを書くために、安全なコーディングスキルを高めることへの関心が高まっているからです。」
DevSec の準備を整えましょう。セキュア・コード・ウォリアーズのまったく新しいコース機能の詳細をご覧ください ここに。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
世の中には、政府、大企業、さらには一部の業界リーダーによって見過ごされがちな、不都合な真実があります。社会として、私たちはサイバー脅威との絶え間ない戦いを続けており、現在は負けています。これをどうやって知ることができるのでしょう?これらの統計は冷静な物語を語っています。
- サイバー犯罪の被害は世界規模で発生すると推定されています 2021年までに6兆米ドル
- サイバー攻撃が発生する 39 秒ごと
- データ漏えいの 24% ヒューマンエラーが原因です
- そして憂慮すべき 77% の組織 してはいけない サイバーセキュリティインシデント対応計画を立てる これは企業全体に広がり、部門間で一貫して適用されます。
サイバーセキュリティの専門家に関しては、人員が非常に不足しています。スキルギャップが埋められる可能性は低く、秘密のアプリケーションセキュリティ部隊が私たちを救済してくれることもありません。私たちはこのことを何年も前から知っていたので、アプローチを変えなければなりません。私たちの場合、最善の攻撃は優れた防御であり、良い計画を立てれば最初に攻撃できます。
これはすべて少し気のめいるように聞こえますが、一部の人が信じているほど悪くはありません。私たちには絶好のチャンスがあり、サイバーセキュリティ環境は私たちに絶好の機会をもたらしています。組織を救うためにやってくる人材を社内の開発チーム以外に探す必要はありませんが、セキュリティプログラムは、セキュアなコーディングの責任を分担する準備ができているセキュリティ意識の高いエンジニアになるまでの道のりを支える必要があります。
古いトレーニングでは役に立たない -確かに十分言ってきましたが、関与し、状況に応じた知識を構築し、開発者がセキュリティを気に入るのに役立つ適切なトレーニングでさえ、ビジネスのニーズ、直面する脅威、および企業がすべてのデータを安全に保つのに役立つコンプライアンス要件に合わせてより厳選されていれば、はるかに効果的になる可能性があります。
そこで、私たちの最新機能が コース、出てくる。ところで、タイトルに参考文献があるなら、あなたは公式に年をとっている(または単にクラシックを高く評価している)ということです。
組織に特化した学習:防御策の構築、開発者のスキルの強化
私たちは持っています あらゆる種類の意見 あるタイプの開発者向けトレーニングが他のタイプよりも優れている理由について (つまり、何時間にもわたる辛口で一般的なビデオ説教に飽き飽きさせず、安全なコーディングへの情熱が花開くことを期待してください)。しかし、開発者のマインドセットに訴えるように設計された競争学習があっても、内容は組織内の特定の要件に必要な範囲よりも少し広い場合があります。
開発者が習熟度を示す必要のあるモジュールを正確に含む厳選されたコースは大きな効果をもたらし、日常業務におけるセキュリティのベストプラクティスをすぐに使いこなせるようになります。最も重要な脆弱性を、彼らに関連する言語やフレームワークで掘り下げることができるため、フロントエンドチームやクラウドエンジニアなどに合わせてプログラムをカスタマイズできます。開発者は継続的なコンテキスト、タッチポイント、経験を積むことでスキルを高め、企業にとって最もリスクの高い問題を正確に認識できるというメリットが得られます。
コンプライアンスに合わせてコースをカスタマイズ
世界中でより厳しいサイバーセキュリティ関連の規制が課されており、ソフトウェアセキュリティコンプライアンスは、前向きで効果的なセキュリティ文化を構築するための優れた基盤です。つまらないものであってはなりません。優れたセキュリティプログラムは、うめき声や顔をしかめるのではなく、開発者の誇りと責任感を刺激します。
出発点として、OWASP Top 10について全員に理解してもらうことは非常に良い考えですが、業界関連のコンプライアンスを新たな高みに到達させるには、特定の規制の要件に合わせてカスタムコースを設計できます。たとえば、金融機関は、自社のソフトウェアのコンプライアンス要件に合わせて、次のようなコースをカスタマイズできます。 PCI-DSS ガイドライン 支払いおよびカード処理アプリケーションを管理します。クレジットカード番号などの機密情報の処理と保存を担当する場合、リスクは大きく、開発者の学習で非常に具体的に取り組むことで、ノイズがなくなり、適切な教育を適切なタイミングで提供し、チームの適性をはるかに簡単に監視できるようになります。
ゼネラルエレクトリック(GE)がチーム内でコースを使用する方法は次のとおりです。
「コースは当社のエンジニアにとって素晴らしいソリューションです。学習経路、ビデオ、チェックポイントをカスタマイズ可能なモジュールにまとめる新機能により、いつでも必要な内容に基づいてコンテンツを作成できます。コンプライアンス機能と柔軟性により、プロセスをより合理的かつ柔軟にする機会がさらに広がります。この機能により、General Electric社は各エンジニアに関連するトレーニングをこれまで以上に迅速かつ簡単に調整できるようになりました。」
また、厳選されたコンプライアンストレーニングであっても、開発者にとってはるかに魅力的な、一口サイズで状況に応じた魅力的な学習体験として提供されていることも忘れないでください。
敬意と妥当性に基づいたポジティブなセキュリティ文化
教育は生涯続くプロセスですが、DevSecOpsの慌ただしい世界では、検討すべきことがたくさんあります。トレーニングのために確保した時間を賢く使い、継続してエンゲージメントを高め、価値を付加できる実行可能な学習パスを用意する必要があります。
関連性の高いカスタムコースをキュレーションすることで、開発者の時間とワークフローを尊重すると同時に、ビジネスの脆弱性とサイバーセキュリティリスクの測定可能な削減に取り組むことができます。
AppSecスペシャリストとエンジニアの関係は、これまで誤解や緊張に満ちていましたが、コースを使った体系的な学習により、双方がセキュリティのベストプラクティスについて同じ認識を持つことができます。開発者は、負荷を最小限に抑え、より高水準のコードを作成するのに役立つ、AppSecチームによるソリューション重視の支援を気に入るはずです。
弱点を排除し、企業レベルのセキュリティ衛生を強化
私たちは皆人間ですが、残念ながら間違いを犯します。これらの間違いは、デジタルの世界では非常にコストがかかる可能性がありますが、驚くほどよくあることです。シマンテックの 2019 年インターネットセキュリティ脅威レポート S3 バケットの設定ミスにより、7,000万件を超えるレコードが盗まれたことを確認しました。セキュリティの設定ミスはデータ漏えいの主な原因であり、ヒューマンエラーが原因となっています。 その約4分の1は。
このような問題が発生する理由はさまざまですが、セキュリティ意識の欠如とトレーニングの欠如が、攻撃者が悪用できる小さな機会が開かれたままになる大きな要因となっています。影響をもたらすスケーラブルなセキュリティ衛生管理を実現するには、お客様のビジネスに合わせてカスタムメイドのコースを受講して、それを価値あるものにする必要があります。敵に容赦を示さず、遭遇しそうな最大の頭痛の種となるあらゆる機会を遮断してください。
この大手クラウドベースの会計SaaSプロバイダーを含め、クライアントにはすでに驚くべき影響が見られます。
「コースに合わせた学習経路は、画期的な変化をもたらしました。プログラミング言語の特殊性と脆弱性により、個人や企業のニーズに基づいて、各開発者に適切な学習体験を提供するための制御と柔軟性が向上しました。Secure Code Warriorの幅広い安全なコーディングプラットフォームとコースを組み合わせて使用したことで、開発者のエンゲージメントが一変しました。開発者は、より適切で安全なコードを書くために、安全なコーディングスキルを高めることへの関心が高まっているからです。」
DevSec の準備を整えましょう。セキュア・コード・ウォリアーズのまったく新しいコース機能の詳細をご覧ください ここに。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]开始所需的资源
Trust Agent:AI - Secure and scale AI-Drive development
AI is writing code. Who’s governing it? With up to 50% of AI-generated code containing security weaknesses, managing AI risk is critical. Discover how SCW's Trust Agent: AI provides the real-time visibility, proactive governance, and targeted upskilling needed to scale AI-driven development securely.
OpenText 应用程序安全性的强大功能 + Secure Code Warrior
OpenText Application Security and Secure Code Warrior combine vulnerability detection with AI Software Governance and developer capability. Together, they help organizations reduce risk, strengthen secure coding practices, and confidently adopt AI-driven development.
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
