開発者にセキュリティ意識を持ってコーディングしてもらいたいですか?トレーニングを彼らに届けましょう。
ソフトウェア開発ライフサイクル(SDLC)は十分に無害に思えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし... ソフトウェア開発プロジェクトに参加したことがあれば、それは通常、征服すべきクエストと殺すべきドラゴンを殺すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏えい、欠陥のあるアプリのリリース、およびセキュリティ専門家の間でバグの多いコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。
上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。 機能しているDevSecOpsプロセス チームのすべてのメンバーが、セキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、 正しい種類のトレーニング 最優先事項です。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携して意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりはむしろ煩わしく、開発者にとって嫌なものはどれもうまくいきません。一口サイズの知識に焦点を当てた IDE またはイシュートラッカーを統合したソリューションが 1 つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は次のとおりです。
「念のため」ではなく、ジャストインタイム。
状況に応じた実践的な学習 一口サイズのチャンクを最も適切なタイミングで届けることができるため、断然最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIt) トレーニングと呼ばれることもあり、セキュアコーディングを学ぶ開発者にとって非常に有効です。
起源は トヨタのリーン・マニュファクチャリング原則、JiT トレーニングは、状況に応じて、最も重要なときに、知る必要があるときに受講できるように設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要なときにすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけさせるのはやめましょう。
1 日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける 5 つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っていることはそれほど効果的ではないということです。ベライゾンの2020年データ漏えい調査報告書には、次のように明記されています。 データ漏えいの 43% はウェブの脆弱性に起因する可能性がある。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQL インジェクションや昔ながらのような一般的な脆弱性です。 パストラバーサル 多額のデータ収入を得るために悪用されることもありませんし、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか?
セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特に GDPR の罰金、PCI-DSS コンプライアンス規制、NIST のガバナンス... そして、数百万ドル規模の巨額の集団訴訟 (A'la Equifax) で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。
統合ツールをダウンロードする ジラ そして GitHub さて、あなたの考えを教えてください。
1 日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける 5 つのステップを踏む必要があるのでしょうか。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
ソフトウェア開発ライフサイクル(SDLC)は十分に無害に思えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし... ソフトウェア開発プロジェクトに参加したことがあれば、それは通常、征服すべきクエストと殺すべきドラゴンを殺すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏えい、欠陥のあるアプリのリリース、およびセキュリティ専門家の間でバグの多いコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。
上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。 機能しているDevSecOpsプロセス チームのすべてのメンバーが、セキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、 正しい種類のトレーニング 最優先事項です。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携して意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりはむしろ煩わしく、開発者にとって嫌なものはどれもうまくいきません。一口サイズの知識に焦点を当てた IDE またはイシュートラッカーを統合したソリューションが 1 つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は次のとおりです。
「念のため」ではなく、ジャストインタイム。
状況に応じた実践的な学習 一口サイズのチャンクを最も適切なタイミングで届けることができるため、断然最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIt) トレーニングと呼ばれることもあり、セキュアコーディングを学ぶ開発者にとって非常に有効です。
起源は トヨタのリーン・マニュファクチャリング原則、JiT トレーニングは、状況に応じて、最も重要なときに、知る必要があるときに受講できるように設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要なときにすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけさせるのはやめましょう。
1 日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける 5 つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っていることはそれほど効果的ではないということです。ベライゾンの2020年データ漏えい調査報告書には、次のように明記されています。 データ漏えいの 43% はウェブの脆弱性に起因する可能性がある。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQL インジェクションや昔ながらのような一般的な脆弱性です。 パストラバーサル 多額のデータ収入を得るために悪用されることもありませんし、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか?
セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特に GDPR の罰金、PCI-DSS コンプライアンス規制、NIST のガバナンス... そして、数百万ドル規模の巨額の集団訴訟 (A'la Equifax) で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。
統合ツールをダウンロードする ジラ そして GitHub さて、あなたの考えを教えてください。
ソフトウェア開発ライフサイクル(SDLC)は十分に無害に思えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし... ソフトウェア開発プロジェクトに参加したことがあれば、それは通常、征服すべきクエストと殺すべきドラゴンを殺すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏えい、欠陥のあるアプリのリリース、およびセキュリティ専門家の間でバグの多いコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。
上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。 機能しているDevSecOpsプロセス チームのすべてのメンバーが、セキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、 正しい種類のトレーニング 最優先事項です。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携して意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりはむしろ煩わしく、開発者にとって嫌なものはどれもうまくいきません。一口サイズの知識に焦点を当てた IDE またはイシュートラッカーを統合したソリューションが 1 つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は次のとおりです。
「念のため」ではなく、ジャストインタイム。
状況に応じた実践的な学習 一口サイズのチャンクを最も適切なタイミングで届けることができるため、断然最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIt) トレーニングと呼ばれることもあり、セキュアコーディングを学ぶ開発者にとって非常に有効です。
起源は トヨタのリーン・マニュファクチャリング原則、JiT トレーニングは、状況に応じて、最も重要なときに、知る必要があるときに受講できるように設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要なときにすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけさせるのはやめましょう。
1 日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける 5 つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っていることはそれほど効果的ではないということです。ベライゾンの2020年データ漏えい調査報告書には、次のように明記されています。 データ漏えいの 43% はウェブの脆弱性に起因する可能性がある。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQL インジェクションや昔ながらのような一般的な脆弱性です。 パストラバーサル 多額のデータ収入を得るために悪用されることもありませんし、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか?
セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特に GDPR の罰金、PCI-DSS コンプライアンス規制、NIST のガバナンス... そして、数百万ドル規模の巨額の集団訴訟 (A'la Equifax) で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。
統合ツールをダウンロードする ジラ そして GitHub さて、あなたの考えを教えてください。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
ソフトウェア開発ライフサイクル(SDLC)は十分に無害に思えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし... ソフトウェア開発プロジェクトに参加したことがあれば、それは通常、征服すべきクエストと殺すべきドラゴンを殺すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏えい、欠陥のあるアプリのリリース、およびセキュリティ専門家の間でバグの多いコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。
上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。 機能しているDevSecOpsプロセス チームのすべてのメンバーが、セキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、 正しい種類のトレーニング 最優先事項です。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携して意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりはむしろ煩わしく、開発者にとって嫌なものはどれもうまくいきません。一口サイズの知識に焦点を当てた IDE またはイシュートラッカーを統合したソリューションが 1 つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は次のとおりです。
「念のため」ではなく、ジャストインタイム。
状況に応じた実践的な学習 一口サイズのチャンクを最も適切なタイミングで届けることができるため、断然最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIt) トレーニングと呼ばれることもあり、セキュアコーディングを学ぶ開発者にとって非常に有効です。
起源は トヨタのリーン・マニュファクチャリング原則、JiT トレーニングは、状況に応じて、最も重要なときに、知る必要があるときに受講できるように設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要なときにすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけさせるのはやめましょう。
1 日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける 5 つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っていることはそれほど効果的ではないということです。ベライゾンの2020年データ漏えい調査報告書には、次のように明記されています。 データ漏えいの 43% はウェブの脆弱性に起因する可能性がある。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQL インジェクションや昔ながらのような一般的な脆弱性です。 パストラバーサル 多額のデータ収入を得るために悪用されることもありませんし、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか?
セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特に GDPR の罰金、PCI-DSS コンプライアンス規制、NIST のガバナンス... そして、数百万ドル規模の巨額の集団訴訟 (A'la Equifax) で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。
統合ツールをダウンロードする ジラ そして GitHub さて、あなたの考えを教えてください。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]
%20(1).avif)
.avif)
