安全代码洞察

拡張マークアップ言語 (XML) は、機械にとって扱いやすく、人間が読める形式で文書をエンコードするために使用されるマークアップ言語です。しかし、この一般的に使用されている形式には、複数のセキュリティ上の欠陥があります。今回初めての XML 関連のブログ記事では、スキーマを使用して XML 文書を安全に処理するための基本について説明します。

OWASPは、XMLとXMLスキーマに関連するさまざまな脆弱性を2つのカテゴリに分類しています。

形式が正しくありません XML 文書

形式が正しくない XML 文書とは、W3C XML 仕様に従わない文書です。不正な形式の文書になる例としては、終了タグの削除、さまざまな要素の順序の変更、禁止文字の使用などがあります。これらのエラーはすべて致命的なエラーになるはずであり、文書に追加の処理を行うべきではありません。

不正な形式の文書による脆弱性を回避するには、W3C 仕様に準拠し、形式が正しくない文書の処理にそれほど時間がかからない、十分にテストされた XML パーサーを使用する必要があります。

XML ドキュメントが無効です

無効な XML ドキュメントは正しい形式ですが、予期しない値が含まれています。攻撃者は、XML スキーマを適切に定義していないアプリケーションを悪用して、文書が有効かどうかを確認する可能性があります。正しく検証されないと意図しない結果になる可能性がある文書の簡単な例を以下に示します。

トランザクションを XML データに保存するウェブストア:

<purchase></purchase>
<id>123</id>
<price>200</price>

また、<id>ユーザーは値を制御することしかできません。そうすれば、適切な対策を講じなければ、攻撃者は次のような情報を入力する可能性があります</id>。

<purchase></purchase>
<id>123</id>
<price>0</price>
<id></id>
<price>200</price>

このドキュメントを処理するパーサーが、<id><price>とタグの最初のインスタンスのみを読み取ると、望ましくない結果になります</price></id>。

また、スキーマの制限が十分でなかったり、他の入力検証が不十分だったりして、負の数値、特殊な10進数 (NaNやInfinityなど)、または非常に大きな値が予期しない場所に入力され、同様の意図しない動作が発生する可能性もあります。

不正なデータ検証の問題を回避するには、正確で制限の厳しいXMLスキーマを定義して、無効な XML 文書に関連する脆弱性を回避する必要があります。

次回のブログ記事では、ジャンボ・ペイロードや、恐れられているOWASPのトップ10第4位であるXXEなど、XML文書に対するより高度な攻撃について説明します。

それまでの間、XML 入力検証のスキルを磨いたり、挑戦したりすることができます。 私たちのポータルで。

XML および XML スキーマの仕様には、複数のセキュリティ上の欠陥があります。同時に、これらの仕様には XML アプリケーションの保護に必要なツールも含まれています。XML スキーマを使用して XML 文書のセキュリティを定義していますが、ファイル検索、サーバー側のリクエスト偽造、ポートスキャン、ブルートフォースなど、さまざまな攻撃に利用される可能性があります。

https://www.owasp.org/index.php/XML_Security_Cheat_Sheet

今週、セキュア・コード・ウォリアーの8周年を正式に祝います。一方で、これはアポロ11号のミッションの350倍の時間であり、45,000試合のフットボール、または最後までスーパーマリオオデッセイを5696回プレイするのにも相当します。他方では、ジャイアント・トータスの寿命のわずか30分の1（不思議に思うかもしれませんが、250年）です。急成長を遂げているスタートアップの世界では、それは多くのねじれ、転換、教訓、成果の積み重ねであり、その多くは、私たちが最初に事業計画を立てたときには想像もできなかったものでした。

不況や軍事紛争、そしてこれまで経験してきた中でも最も破壊的なデータ漏えいの脅威を考えると、2022年は私を含め、多くの人にとって最もポジティブな年ではありませんでした。ゴールラインまでの苦労とは程遠いと言っても不誠実ですが、進行中の世界的な課題に直面した私たちのレジリエンスを誇りに思っています。私たちには優れたチームがあり、私たち一人一人がエンタープライズセキュリティプログラムの成功を促進することに真摯に取り組んでいます。開発者は非常に長い間存在してきた問題に対する変革的で防御的なアプローチの中心に開発者を置くことです。私たちは独自の道を築き、成功してきました。地球上で「ゲーム化された」サイバーセキュリティ教育の選択肢は私たちだけではないかもしれませんが、確かなことが1つあります。それは、私たちのビジョン、粘り強さ、創設チームを持っている人は他にいないということであり、私たちは一緒に多くのことを経験してきました。
‍

誕生日のマイルストーンは、過去1年間の重要な出来事を振り返るときによく使われますが、今回は、初日に小さなオフィスに詰め込んだのと同じ6人を維持しながら、このような成長を達成できたことがどれほど特別なことかを強調したいと思います。

私たちは自分たちのニッチ分野を見つけ、セキュリティにおける開発者の役割に対する見方を変えると信じているビジョンを実行するために日々協力しています。これは大変な仕事ですが、私たちは自分たちのルーツと絆の重要性を忘れていません。

‍

私たちには長い道のりがありますが、この中核チームと、熱心で共感的で献身的な個人のチームが増え続けることで、ソフトウェア開発におけるセキュリティの現状を変える手助けができると心から信じています。

どうしてそんなに自信が持てるか分かるかい？当初から、私たちは多様性を重視し、それをチームの強みの柱と考えていました。最高の組織は、さまざまな背景、文化、職業を持つ人々の貢献によって構築されます。この1年間で100人以上の新しいメンバーがチームに加わりました。私たちはアプローチのるつぼであり、その結果、いわば成層圏に私たちを導いてくれる、手ごわい才能のある人類のグループへと発展していったことを誇りに思います。

過去3年間が私たちに何かを教えてくれたとしたら、それは予期せぬ事態を想定することですが、私が信頼できるのは、私たちがお互いに支え合い、ゆっくりと、しかし確実に、ソフトウェアの安全性を高める手助けをしているということです。そして、私たちは冒険心を失わずにそれをやっています。

最近、ソフトウェアエンジニアのディミトリ・ヴァンダーヘーゲに話を聞きました セリジェント・マーケティング・クラウド、 高度に統合されたAIを活用したオムニチャネルマーケティング自動化プラットフォームにより、野心的なB2Cマーケターは、今日のネット接続された消費者とのあらゆるやり取りを最大限に活用できます。ペースの速いB2Cテクノロジー企業であるSelligentにとって、規模を拡大し、市場の増大する需要に応えることは極めて重要です。こうした要求に応えるためには、サイバーセキュリティに重点を置くことが挙げられます。最も重要なのは、開発者主導のセキュリティスキルプログラムです。

ビジネスの拡大にサイバーセキュリティが不可欠なのはなぜですか？

ビジネスを拡大するには、強力なセキュリティ戦略を会社のアジェンダの上位に置く必要があります。そうしないと、脆弱性にさらされることになります。サイバーセキュリティ攻撃は 39 秒おきに発生し、 攻撃のコスト あなたのビジネスは経済的に悪影響を及ぼし、あなたの評判を台無しにする可能性があります。私たちはただ目を向けるだけでいいのです 2017年のEquifaxハッキング 代表的な例として、CEOが辞任し、ハッキングがその理由であることを明らかにしました。

しかし、規模を拡大するためにはサイバーセキュリティが共通の責任になる必要があります。ディミトリが説明するように、特に開発者コミュニティ内ではそうです。

「エンジニアをトレーニングする最も重要な理由はスケーラビリティです。なぜなら、私たちには60人近くのエンジニアが取り組んでいる大きな製品があるからです。セキュリティを気にしなければ、脆弱性スキャンはすべてセキュリティスペシャリストに返されます。」

開発者主導のセキュリティ文化を築くにはどうすればよいでしょうか?

DimitriとSelligentチームは、開発者主導のセキュリティ文化を打ち破ったようですが、私たちにとっては 最近の研究 セキュリティを組織内の全員の責任と見なしている開発者はわずか 15% です。では、どうすればよいのでしょう？ 左から開始 そして、開発者主導のセキュリティ文化を築き上げるのでしょうか？

Dimitriは、これをSecure Code Warrior® の学習プラットフォームを通じて開発者をスキルアップさせるためのセキュリティ意識の高まりに起因すると考えています。ディミトリは、このプラットフォームがなかったら、セキュリティ意識を高めるのに苦労しただろうと言います。その結果、開発者はコードを作成する際にセキュリティを最優先に考えています。

開発者主導のセキュリティ文化を構築するためのもう1つの重要な側面は、トレーニングを適切なものにすることです。私たちの 最近の研究 また、開発者の 40% がトレーニングは実践的なものではなく、30% は関連性もないと回答したことも示しました。ディミトリ氏は、Secure Code Warrior® トーナメントの細分性と現実世界での性質が大きな違いを生むと述べています。楽しくて競争の激しいプラットフォームは、開発者のエンゲージメントと意識を高めることにもつながります。

ディミトリが指摘するように、サイバーセキュリティの負担は、気づかないうちにセキュリティの専門家に委ねられ、スケーラブルではないのです。その答えは、ビジネスと製品を効果的に拡大して、確実に保護することです。 ソフトウェアの脆弱性 開発者主導のセキュリティスキルプログラムを通じて、デベロッパーコミュニティにおける極めて関連性の高いコンテキストトレーニングに焦点を当てます。

‍
Secure Code Warriorはまさにそれを組織に提供できます。デモに興味がありますか？以下で予約してください。

‍

人工智能编码工具的广泛应用正在改变软件开发。目前，78% 的开发人员¹正在使用人工智能来提高生产率，创新速度前所未有。但是，这种快速发展也伴随着严重的风险。

研究表明，在功能正确的人工智能生成的代码中，高达 50% 的代码是不^安全的2。这不是一个小错误，而是一个系统性挑战。这意味着开发人员每次使用 GitHub Copilot 或 ChatGPT 等工具时，都可能在不知不觉中将新的漏洞引入代码库。其结果是，速度和安全风险危险地交织在一起，而大多数组织都不具备管理这些风险的能力。

影子人工智能 "的挑战

如果没有管理人工智能编码工具使用的方法，CISO、AppSec 和工程领导者就会面临他们无法看到或衡量的新风险。如何回答以下关键问题？

• 我们的代码中有多大比例是人工智能生成的？
• 正在使用哪些MCP？
• 正在使用哪些未经批准的型号？
• 不同模式会产生哪些漏洞？

缺乏可见性和管理会带来新的风险和不确定性。这就是 "影子 IT "的定义，只不过是针对你的代码库而言。

我们的解决方案--信任代理：人工智能

我们相信，您可以同时拥有速度和安全。我们自豪地推出 信任代理：人工智能是我们的 Trust Agent 产品的一项强大的新功能，可提供您所需的深度可观察性和控制性，让您在软件开发生命周期中自信地拥抱人工智能。 利用独特的信号组合，Trust Agent：AI 提供

• 可视性：查看哪些开发者正在使用哪些AI编码工具、大型语言模型和机器学习平台，以及在哪些代码库上使用。不再存在"隐形AI"。
• 风险度量：将人工智能生成的代码与开发人员的技能水平和引入的漏洞联系起来，以了解在提交级别引入的真正风险。
• 管理：自动执行策略，确保人工智能开发人员符合安全编码标准。

信任代理：人工智能仪表板提供有关人工智能编码工具使用情况、贡献开发人员、代码库等信息的洞察力。

开发人员的角色：最后一道防线

虽然 Trust Agent：虽然人工智能为您提供了前所未有的管理，但我们知道，开发人员仍然是最后一道也是最关键的防线。管理人工智能生成的代码风险的最有效方法是确保您的开发人员具备审查、验证和保护代码的安全技能。这就是我们全面的开发人员风险管理平台的一部分--SCW 学习的作用所在。通过 SCW Learning，我们将为您的开发人员提供安全利用人工智能提高生产力所需的实践技能。SCW Learning 产品包括

• SCW 信任度评分：业内首个量化开发人员安全熟练程度的基准，使您能够确定哪些开发人员最有能力处理人工智能生成的代码。
• 人工智能挑战：交互式真实编码挑战，专门教授开发人员如何查找和修复人工智能生成的代码中的漏洞。
• 有针对性的学习：从 200 多项人工智能挑战、指南、演练、Missions和Courses 中策划学习路径，强化安全编码原则，帮助开发人员掌握降低人工智能风险所需的安全技能。

通过将 Trust Agent：AI 与我们学习产品的技能开发相结合，您就可以创建一个真正安全的 SDLC。您将能够识别风险、执行政策，并让您的开发人员比以往更快、更安全地构建代码。

准备好为您的人工智能之旅保驾护航了吗？

人工智能时代已经到来，作为一名产品经理，我的目标是打造不仅能解决当今问题，还能预见未来问题的解决方案。Trust Agent：AI 就是为了实现这一目标而设计的，它为您提供了管理人工智能风险的可视性和控制力，同时赋予您的团队创新能力。早期访问测试版现已上线，我们希望您能参与其中。这不仅仅是一个新产品，而是在人工智能为先的世界里，为安全软件开发开创一个新标准。

今天就加入抢先体验候补名单！

開発者が AI を使用して安全にコーディングするのに役立つ 12 週間の無料ビデオシリーズ

AI コーディングアシスタントと大規模言語モデル (LLM) は、ソフトウェアの構築方法を変革しています。スピード、柔軟性、革新性を約束する一方で、開発者が無視できない新たなセキュリティリスクももたらします。

だからこそ、セキュア・コード・ウォリアーはYouTubeで12週間にわたる無料のAI/LLMセキュリティ紹介動画シリーズを公開しています。各短いエピソードでは、AI 支援開発を安全に採用し、アプリケーションに脆弱性が入り込まないようにするために、開発者が知っておく必要がある AI/LLM セキュリティの主なリスクや概念を紹介することに焦点を当てています。

最初のエピソードを今すぐ見る: AI コーディングのリスク:LLM を使用する際の危険性

エピソードをお見逃しなく。 ユーチューブで購読。

‍
開発者とセキュリティリーダーのコミュニティに参加してください — ここでオプトイン 最新の動画、リソース、最新情報をメールボックスに直接お届けします。

このシリーズを作った理由

AI支援コーディングはソフトウェア開発のルールを書き換えています。GitHub Copilot、Cursor などのツールにより、開発者はこれまで以上に迅速にコードをリリースできます。しかし、AI セキュリティを深く理解していなければ、チームは従来のテストでは検出できなかった隠れた脆弱性や一貫性のない動作を招くリスクがあります。

AIの時代における安全な開発には、まず意識が必要です。このシリーズは、開発者が安全性を損なうことなく自信を持ってイノベーションを進められるように、ノイズを切り抜け、AI/LLM セキュリティ概念の入門的な基礎を開発者に提供することを目的としています。

期待できること

12週間にわたって、以下を含むAI支援開発における機会とリスクの両方を探ります。

• コーディングに AI と LLM を使用する利点と危険性
• プロンプトインジェクションと悪意のある入力が AI 出力を操作する方法
• AIを活用したワークフローにおける機密情報の開示と秘密の保護
• サードパーティのモデルとAPIに依存する場合のサプライチェーンのリスク
• システムプロンプトリーク、ベクターの弱点、検索の脆弱性
• 誤った情報、過剰な主体性、無制限の消費などの新たな課題
• そしてもっとたくさん！

一気に盛り上がったり、追いついたりできる場所が1つ欲しい?私たちのサイトをブックマークしてください ビデオハブ —最新のエピソードと要約で更新します。

ハブに移動: AI/LLM セキュリティビデオシリーズ:全エピソード、毎週更新。

フォロー方法

• ユーチューブで購読 すべてのエピソードがリリースされたらすぐに入手できるように
• 開発者とセキュリティリーダーのコミュニティに参加してください — ここでオプトイン 最新の動画、リソース、最新情報をメールボックスに直接お届けします。
• ブックマーク ビデオハブブログ すべてのエピソードにすばやくアクセスできます
• これらの入門レッスンを超えてさらに深く掘り下げたい場合は、Secure Code Warriorプラットフォームの完全なAI/LLMコレクションを調べるか、 デモをリクエストする まだ顧客でない場合。

安全な AI 支援開発の標準を設定

AI はソフトウェアの構築方法を急速に変化させています。しかし、セキュリティのないイノベーションは持続可能ではありません。開発者は、AI が支援するリスクを理解し、規模を拡大できる安全なコーディング習慣を実装するために、開発者本位の実践的なガイダンスを必要としています。

この無料のビデオシリーズは、この新しい時代に開発者コミュニティが繁栄できるよう支援するというSecure Code Warriorの取り組みの一環です。一般公開されている私たちのサイトから GitHub の AI セキュリティルール 拡大を続けるAI/LLM学習コレクションに合わせて、安全にイノベーションを起こすために必要なツールと知識をチームに提供しています。

セキュリティ・バイ・デザインの原則は、開発者主導のセキュリティによってのみ成功裏に実装されることを組織は理解しています。結局のところ、組織のソフトウェアを強化するコードを設計、構築、最終的にコミットするのは開発者です。これらの貴重な貢献者に、安全なコードのベストプラクティスを実装するための知識とスキルを持たせることは絶対に重要です。しかし、この目標を達成するための課題は、開発者のセキュア・コーディングに関する知識とスキルを、実際にソフトウェアを構築する際に使用するプログラミング言語と一致させることにあります。最も成熟した組織であっても簡単な作業ではありません。

この課題は、組織のコードベースで使用されているプログラミング言語の量が膨大で混在しているため、セキュリティチームにはまったく知られていないことが多いため、さらに複雑になっています。では、CISO、アプリケーションセック、エンジニアリングのリーダーは、作成およびコミットされるコードが、そのコミット固有のプログラミング言語に関する開発者の安全なコード知識とスキルに裏付けられていることをどのように確認すればよいのでしょうか。

SCW トラストエージェントの紹介

セキュア・コード・ウォリアーは、この難しい質問に答えるために SCW トラストエージェントを立ち上げました。SCW Trust Agent は、開発者が主導するセキュリティを拡大するために必要な可視性と制御をセキュリティリーダーに提供します。これにより、開発者とチームは、コミットされた内容のセキュリティを維持および改善しながら、コードをより迅速に提供できるようになります。

SCW トラストエージェントの仕組み

SCW Trust Agent はコードリポジトリを検出して接続し、すべてのコードコミットに含まれるメタデータを評価します。コミットを行った開発者、使用された言語またはフレームワーク、およびコードがコミットされた正確なタイムスタンプを検査します。次に、この分析を、業界をリードする SCW のラーニングプラットフォームのデータや洞察と組み合わせて、開発者がその特定のプログラミング言語に関する十分なセキュリティ知識を持っているかどうかを判断します。この情報に基づいて、組織が設定したポリシーに基づいて、そのコミットの正常性を評価します。これらのポリシーはカスタマイズや設定が可能なため、開発者がセキュアコードに関する知識を持っているかどうかは、そのプロジェクトやリポジトリの全体的な機密性に基づいて、チームがコミットに関する具体的なガイドラインや要件を設定することができます。

次のレベルのガバナンスとコントロール

この強力な可視性に基づいて、Trust Agent は柔軟なポリシーゲーティング機能を通じて大規模な統合ガバナンスを提供します。この革新的な機能により、組織やチームはセキュアコーディング標準をコミットレベルで直接積極的に適用し、維持することができます。開発者がセキュアコーディングのスキルが組織の事前定義された要件を満たさない言語またはフレームワークでコードをコミットしようとした場合、Trust Agent は設定可能なアクションを自動的にトリガーできます。つまり、イベントをレビュー用に記録したり、直接警告を発したり、プルリクエストを完全にブロックしたりすることもできます。

これらの適応性の高いポリシーゲートは、任意の Git ベースのリポジトリに適用できるため、特にビジネスクリティカルなアプリケーションや、要件6.2.2で言語固有のセキュリティトレーニングを規定するPCI-DSS 4.0など、コンプライアンス要件が厳しいアプリケーションにとって重要な制御ポイントとなります。Trust Agentは、組織のリスク選好度に基づいてコミットの信頼レベルを正確に定義することで、検証済みの安全なコーディングスキルを持つ開発者からのコードのみが最も重要なリポジトリに入るようにし、セキュリティ体制を根本的に強化します。

開発ライフサイクルの最適化

SCW Trust Agent によって可能になるこのプロアクティブなアプローチは、組織の全体的なセキュリティ体制を改善するだけでなく、開発ライフサイクルの最適化にもつながります。開発者が自分のコミットした言語で安全なコード知識とスキルを身に付けられるようにすることで、導入された脆弱性のうち、後で特定して修正する必要のある脆弱性の数を大幅に減らすことができます。修正とやり直しは開発者にとって大きな時間の浪費になりがちで、ワークフローを中断し、作業速度にも影響します。プロアクティブなアプローチによって脆弱性を減らすことで、これらの修復サイクルを最小限に抑えることで、開発チームは価値の高い機能の提供に集中できます。

開発者主導型セキュリティのスケーリング

SCW Trust Agent は、開発者が主導するセキュリティプログラムを拡張するために必要なツールを組織に提供します。CISOとアプリケーションセキュリティチームは、ポリシーの設計、適用、遵守に関する詳細な洞察を得て、適切なガバナンスを適用し、コンプライアンス基準を満たし、さらにはそれを上回るために必要な可視性と制御を得ることができます。また、開発者は、提供するコードで使用している言語に特化したセキュア・コード・トレーニングを受けることで、安全なコードをより迅速に提供できるようになります。

SCW Trust Agent はあらゆる Git ベースのソースコード管理ツールと連携し、オンプレミス、クラウドベース、手動アップロードなどの複数の接続オプションを使用してコードリポジトリを簡単に接続できます。詳細については、以下をご覧ください。 www.scwtrustagent.com またはお問い合わせください。お客様の組織のセキュリティ体制を強化し、開発者主導のセキュリティを拡大するために私たちがどのように支援できるかについて、ぜひご相談ください。

編集者注:この投稿は元々によって公開されました カイル・リオーダン そして2024年7月23日に公開されました。以下により新しい情報や研究が加わりました。 アンドリュージョンソン、セキュア・コード・ウォリアーのシニア・プロダクト・マーケティング・マネージャー。

SCW Platformの最新の機能強化であるSCWトラストスコアについての対話を続けられることを嬉しく思います。この画期的な機能は 5 月に正式にリリースされました。これは、開発者や組織が安全なコードを書くために必要なツールを提供するという私たちの使命を大きく前進させたものです。

中核となるSCW Trust Scoreは、組織のセキュリティ体制と安全なコーディング慣行の有効性に関する貴重な洞察を提供します。SCW トラストスコアの主な利点と利点を見ていきましょう。

• 可視性: さまざまな要因が成功の鍵となる学習プログラムや教育プログラムを通じて、チーム全体で多様なスキルや能力が身に付きます。同一のセキュアコードプログラムを実施しているにもかかわらず、チームは多くの場合、トップパフォーマー、平均的な達成者、追加のサポートを必要とする人々など、さまざまな専門知識を身につけています。SCW Trust Score は、組織が Secure Code Warrior を使用する際の個々の開発者のセキュリティ態勢を集計することで、セキュリティ学習プログラムの有効性をデータに基づいて測定できるようにします。
  
  
• ベンチマーク指標: 組織は、開発者のセキュリティ・スタンスのベル・カーブを定義し、最適化すべき領域をピンポイントで特定し、セキュリティへの準備が整い、パフォーマンスが高く生産性の高いソフトウェア・チームを真に構築するためのベンチマークを必要としています。SCW Trust Score を利用することで、組織は業界のベンチマークやベストプラクティスと照らし合わせて自社のセキュリティ態勢を評価できるようになります。この包括的な指標を活用することで、利害関係者は他に類を見ない精度で強みと改善の余地がある分野を特定できます。
  
  
• データ駆動: SCW Trust Scoreは、600社以上の企業と25万人の開発者から収集された2,000万件の学習データポイントの力を活用しています。プラットフォーム上で完了したすべての学習アクティビティを分析することで、アルゴリズムが包括的なスコアを生成します。このスコアには、学習アクティビティの幅と深さ、アクティビティの理解度、最近の学習内容、職務内容、オンボーディングライフサイクル、トレーニングを受けた開発者の総数などの要素が考慮されます。
  
  

RSACは、顧客、パートナー、業界リーダーから大きな関心を集めたRSACで、最近もお客様や見込み客との対話を続けてきたことを誇りに思っています。

私たちが主催することを発表できることを嬉しく思います 6月12日のウェビナーでは、当社の最高技術責任者兼共同創設者であるマティアス・マドゥが、SCW Trust Scoreとその実際のシナリオにおける実際の応用に関する包括的な概要について説明します。皆さんにお会いできるのを楽しみにしています。

最後に、SCW Trust Scoreの開発と改善に貢献してくれたお客様およびパートナーコミュニティの各メンバーに感謝の意を表します。私たちは共に、組織全体で優れたセキュリティ体制とはどのようなものかを理解するための取り組みに乗り出します。

本日、SAP: ABAPトレーニングコンテンツがセキュアコードウォリアーで利用可能になったことを発表できることを嬉しく思います！ABAP開発チームは、以下の方法により、手戻りを減らし、脆弱性を減らして、質の高いコードをより迅速に出荷するために必要なサポートを受けられるようにすることができます。

• 自分のペースで進めるトレーニング
• 対象を絞った学習経路
• 楽しいコーディングコンテスト
• セキュア・コーディング能力評価
• 安全なコーディングスキルの長所と短所に関する個人向けレポート

アバップ (A上級者向け Bビジネス A応用 Pプログラミング）は、19,000社以上の企業がSAPプラットフォーム上でビジネスアプリケーションをコーディングするための主要言語です。これらの企業では、合計で次のような成果を上げています。 世界の商取引総額の 87%-46兆米ドル。そのため、ABAPの確保はかつてないほど重要になっています。

Secure Code Warriorでは、ABAPのようなニッチな言語で書かれたものやJavaのようなより一般的な言語で書かれたものを含め、開発者がすべてのビジネスクリティカルなアプリケーションを保護できるように努めています。

‍

‍

既存のお客様は、[トレーニング]、[コース]、[トーナメント] のコンテンツにアクセスできるようになりました。ご不明な点がございましたら、カスタマーサクセスマネージャーにお気軽にご相談ください 🙂。

セキュア・コード・ウォリアーがビジネスクリティカルなABAPアプリケーションの保護にどのように役立つか

ABAPはニッチな言語であるため、トレーニングプラットフォームに含まれることはほとんどありません。そのため、企業が開発者をトレーニングしようとする場合、1 回限りのワークショップなど、非常に高価で非効率的なプログラムを通じてトレーニングを行います。

Secure Code Warriorを使用すると、継続的かつ効果的なトレーニングソリューションが得られます。

トレーニングコンテンツは、開発者が好む形式、つまりコードスニペットとサンプルで提供されます。そのため、開発者がコンテンツを使用して楽しんでくれることを確信できます。

さらに、内容の深さと幅広さ、階層化された学習システムにより、ABAP開発者はセキュアコーディングスキルを段階的に向上させるために必要な継続的なサポートを受けることができます。この漸進的な学習体験により、開発者は筋肉の記憶を形成し、プロジェクトで学んだことを実践することができます。

‍

コーディング課題を通じて脆弱性を特定し、コードパターンを保護する方法を学ぶ

‍

開発者は慣れ親しんだ環境で最もよく働けることを私たちは知っています。だからこそ、私たちが紹介するのです。 コーディングチャレンジ コードエディターのようなインターフェースで。

開発者はファイルやコード行をナビゲートして、機能しているコードベースにおけるABAPの脆弱性を特定、特定、修正できます。トレーニング中、開発者は脆弱なコードパターンと適切な修正方法を認識できるようになり、その結果、脆弱性を早期に発見し、修正時間を短縮できます。

ABAPは弊社の言語サービスに追加された最新のサービスで、以下のお客様にも同じ特典をご利用いただけます。 プラットフォーム上で対応しているその他すべての57言語（今後も増え続ける）。

Secure Code Warrior® トレーニングを展開した直接の結果として、脆弱性の修復が行われているのを見たことがあります。開発者が「Secure Code Warrior® トレーニングで『これ』を学んだことを覚えているので、ここでセキュリティ上の懸念に対処するためのチケットを作成しています」などと言うからです。

コモドヘルス、セキュリティ責任者、ニコール・スミス

没入型の現実世界シミュレーションを通じて、セキュリティに精通した開発者になりましょう

‍

ABAP開発者が基本的な安全なコーディング手法に慣れたら。プレイすることで、セキュリティチャンピオンになるための挑戦ができます。 ミッション。

ミッションは、開発者が特定の脆弱性を悪用するためのシミュレートされたプレイグラウンドです。エクスプロイトが機能しているアプリにどのように影響するかをリアルタイムで目撃することで、攻撃的でセキュアなコーディングスキルを身につけ、それを取り戻してプロジェクトを守ることができます。

ABAP コーディングの課題を試してみる

ABAPの最新コンテンツにより、開発者向けのプログレッシブトレーニングプログラムを簡単かつ効果的に提供できます。

Secure Code Warriorの既存のお客様は、次の方法でトレーニングコンテンツにアクセスできます トレーニング、 コース、 トーナメント、および アセスメント プレイモード。

あなたのチームがまだ私たちのソリューションを導入していないなら、試してみてはいかがですか？ 私たちの ABAP コーディングの課題 今日?

ABAP は利用可能な多くの言語の 1 つです

最も人気のあるものを含め、他に57の言語のトレーニングコンテンツを提供しています（Java と C++) と新星 (GO とタイプスクリプト)。私たちのものをチェックしてください サポートされている言語の完全なリストと、選択したフレームワークでのコーディングチャレンジを今すぐ試してみてください。

セキュア・コード・ウォリアーとOktaは、開発者のワークフローを保護する新しい方法を発表します

開発者は高品質のコードをこれまで以上に早く提供することが期待されていますが、非現実的な期限がソフトウェア品質の低下や脆弱なコードにつながる可能性があることは間違いありません。開発者の 67% が、締め切りが厳しいこともあり、脆弱性のあるコードを出荷していると考えているのは驚くことではありません (開発者主導型セキュリティ2022の現状)。脅威と侵害が増え続ける中、セキュリティはもはや後回しにすることはできず、代わりにDevSecOpsサイクル全体に組み込む必要があります。

Okta Workflows用のSecure Code Warrior Connectorを発表できることを嬉しく思います。これにより、組織や開発者はソフトウェア開発ライフサイクルの最初から安全なコードを作成できます。SCWとIDの大手独立系プロバイダーであるOktaとのこの新しいコラボレーションにより、セキュリティ技能チェックが行われ、AppSecマネージャーは、開発者をワークフローから外すことなく、チームが脆弱性を減らすための安全なコードに取り組んでいることを確信できるようになります。さらに、Secure Code WarriorとOktaにシングルサインオンを追加して、この優れた新しいソリューションをさらに簡単に活用できるようにしました。

脆弱性が導入されるリスクを軽減

開発チームはこれまで、プラグイン、スキャンツール、コードレビューなど、開発サイクルの後半にある事後対応型または時間のかかるプロセスに頼ってセキュリティ問題の特定と修正を行ってきました。これらのアプローチには多くの利点がありますが、脆弱なコードや将来のやり直しのリスクが高すぎるだけです。その代わり、私たちは組織がセキュリティを左派にシフトさせ、事後対応ではなく積極的なセキュリティスタンスをとれるよう支援します。Okta Workflows用の新しいSecure Code Warrior Connectorは、個々の開発者がコードをコミットするためのリポジトリアクセスを許可されるのに必要なセキュアコーディングスキルを習得していることを保証することで、セキュリティ思考を開発サイクル全体に統合します。この統合により、開発者はSCWの非常に魅力的なプラットフォームを通じて最新のセキュリティ慣行について確実に学び、手動によるコードレビューの負担の一部が軽減され、エンジニアリング時間を解放して品質を犠牲にすることなくより多くの機能をリリースできるようになります。

アプリケーションセキュリティとエンジニアリングのリーダーは、SCWの広範な学習プラットフォームを活用して個別の評価とパスを作成し、開発者がお客様の最優先事項であるセキュアコーディングのニーズに集中し、コードを確実にチェックインできるような適切な専門知識を身に付けていることを確認します。コンテンツの幅広さと深さ、6500以上のインタラクティブなコーディング課題、56以上の言語:フレームワーク、150以上の脆弱性カテゴリの助けを借りて、組織のほぼすべてのニーズを確実に満たすことができます。

チームに適した学習戦略を作成したら、評価スコアとコースの修了状況に基づいて、開発者がセキュリティファーストのアプローチでソフトウェアを構築するための適切なスキルを持っているかどうかを判断できます。Okta との新しい統合により、評価スコアに基づいて各開発者の権限を自動化できるようになりました。これにより、個々の開発者の承認を簡単に拡大してコードをコミットしたり、スキルセットをさらに伸ばす機会を特定したりできます。

SCW プラットフォームでの柔軟でインタラクティブな学習体験のおかげで、開発者は常に学習を楽しみ、学習へのアプローチが、コンプライアンスのチェックボックスから説得力のあるやりがいのあるものへと変化していることがわかります。

机制

Okta Workflows用のセキュアコードウォリアーコネクタは、Okta Workflowsで簡単に構築できます。コードIDの自動化やオーケストレーションの設定は不要で、if-thenロジックを使用します。Connectorは一連のアクションを使用しているため、API呼び出しや構成設定の根本的な複雑さを気にすることなく、ワークフロータスクを実行できます。

開発者のワークフローを保護するためのシンプルな設計は次のようになります。

完全なワークフロー設計の概要は次のとおりです。

‍

手順を見ていきましょう。

1。開発者のセキュリティ能力を判断するために使用する評価 ID を設定します。また、セットアップの一環として、組織やリポジトリなどの GitHub の詳細を追加してください。

2。ワークフローでは、「ユーザーの評価完了をチェック」というアクションを使用して、開発者が特定の評価に合格したかどうかを確認します。

‍

3。希望するコース/評価が完了しているか、特定のスコアが達成されたら、GitHub Connector を使用してリポジトリへのアクセスを許可してください。要件が満たされていない場合は、通知を生成したり、別の Okta ワークフローを起動して適切なアクションを実行したりできます。

‍

上記は、適格な開発者のみを安全なワークフローに引き続き受け入れるように、1回限り、定期的、または継続的なチェックとして実行するように設計できます。

他に実行できる SCW コネクタアクションには、次のようなものがあります。

• ユーザーの評価試行回数一覧-特定の評価でユーザーが行ったすべての答案を一覧表示します
• ユーザーのコース修了確認-ユーザーが特定のコースを修了したかどうかを判断します
• ユーザーのコース登録を一覧表示-特定のコースIDについてユーザーが持っているすべての登録を一覧表示します
• カスタム API アクション-使用可能なアクション以外の API 呼び出しを実行する

高品質で安全なコードをより迅速に、自信を持ってリリース

SCW Connectorは、ソフトウェア開発ライフサイクルの開始時に脆弱性が導入されるリスクを軽減するのに役立ちます。コードレビューやスキャンツールと同様に、開発者が最初から安全なコードを書いていることを確認するための品質ゲートの役割を果たします。その結果、コードのレビューや回避可能な問題の修正に費やす時間が減り、より早く高品質のコードを提供することに焦点が移ります。さらに、Connectorは、開発者がSCWの学習プラットフォームに積極的に関わってセキュリティスキルを維持することを奨励することで、セキュリティ第一の文化を促進するのにも役立ちます。開発者が学び続け、セキュリティの成熟度を向上させるにつれて、新しいコードにおける脆弱性は減少し続けています。これにより、AppSecチームによる修復サポートの負担が軽減され、組織全体のセキュリティ体制の強化に集中できるようになります。

Oktaワークフロー用のセキュア・コード・ウォリアー・コネクターと当社の 学習プラットフォームは、開発チームのセキュリティ技能を高めることで、組織がセキュリティを左に、より迅速にシフトするという目標を達成するのに役立ちます。

に手を差し伸べてください デモをスケジュールする またはチェックしてください ドキュメンテーション セットアップと構成の詳細については、こちらをご覧ください。

‍