ソフトウェア開発ライフサイクル(SDLC)は十分に無害に思えます。それはプロセスであり、私たちソフトウェア関係者は皆集まって魔法を実現し、社会がなくては生きていけないデジタルグッズをすべて出荷します。
ただし... ソフトウェア開発プロジェクトに参加したことがあれば、それは通常、征服すべきクエストと殺すべきドラゴンを殺すための挑戦であることをご存知でしょう。しばらくの間は楽しいですが、燃え尽き症候群は現実のものであり、ソフトウェアの需要により、私たち全員、特に開発チームは、最高のタイミングで光速で働いています。
今度は、彼らが関わるプロジェクト要素におけるセキュリティ責任という、もうひとつやるべきタスクを課せられていると想像してみてください。これにより、最悪の場合、一部の個人にとってはカードハウスが崩壊する可能性がありますが、より現実的なシナリオは、単に優先順位が付けられておらず、一線を越えることがより差し迫っていると考えられる問題が優先されるというものです。また、ほとんどの開発者が安全なコーディングのトレーニングを受けていない場合(特にマネージャーがセキュリティを優先していない場合)、頻繁なデータ漏えい、欠陥のあるアプリのリリース、およびセキュリティ専門家の間でバグの多いコードの雪崩が限界点に達しているのも不思議ではありません。
開発者にはAppSecの支持者が必要です。 上記のシナリオを取り入れると、コーディングプロセス中にセキュリティが「難しすぎる」バスケットに入れられ、セキュリティチームに任されて解決される理由がわかります。競合する締め切りが多すぎ、トレーニングが不十分で、他のことが行われているのにセキュリティを気にかける本当の理由がありません。しかし、この現状を維持するには、コードに対する需要が高すぎるのです。そこが、超エリート開発者が他の開発者よりも目立ち、新しいスキルを学び、そして最も重要なこととして、より安全なコードを構築できる点です。
ただし、ソフトウェア・セキュリティの管理はすべて開発者の責任ではないことを覚えておくことが重要です。これは依然としてAppSecチームの領域です(セキュリティを意識した開発者と協力すれば、よくあるバグを繰り返し修正する代わりに、余裕を持って作業できます)。 機能しているDevSecOpsプロセス チームのすべてのメンバーが、セキュリティに対する責任を分担するために必要なサポートとツールを用意することを要求し、 正しい種類のトレーニング 最優先事項です。適切なツールスイートとトレーニングのバランスを取るには、開発者と緊密に連携して意欲的に開発者を鼓舞し、前向きな変化を推進しようとするアプリケーション・セキュリティ・プロフェッショナルの洞察力が必要です。
破壊的なトレーニングは効果的というよりはむしろ煩わしく、開発者にとって嫌なものはどれもうまくいきません。一口サイズの知識に焦点を当てた IDE またはイシュートラッカーを統合したソリューションが 1 つの選択肢であり、必要な瞬間に適切な情報を開発者に提供できます。
実際の動作は次のとおりです。
「念のため」ではなく、ジャストインタイム。 状況に応じた実践的な学習 一口サイズのチャンクを最も適切なタイミングで届けることができるため、断然最も効果的なトレーニング方法です。これは「ジャストインタイム」(JIt) トレーニングと呼ばれることもあり、セキュアコーディングを学ぶ開発者にとって非常に有効です。
起源は トヨタのリーン・マニュファクチャリング原則 、JiT トレーニングは、状況に応じて、最も重要なときに、知る必要があるときに受講できるように設計されています。開発者が不適切な権限を持っていると思われるものを書いたことがありますか?攻撃者がリモートでコードを実行できるような小さなバックドアが開かれたらどうなるでしょうか?開発者が Confluence のドキュメントをたどったり、トレーニングで触れたものを Google で検索したりするよりも、必要なときにすぐに知識にアクセスできれば、はるかに記憶に残るものになるでしょう。
ジャストインタイムは、「万が一」の学習とは正反対です。知識を伝える方法としては、後者がより一般的な方法ですが、単純に効率的ではありません。開発者がセキュアコーディングのベストプラクティスに従いやすくなり、現在取り組んでいる主要な目標に集中しながら、キャリアにおけるスキルアップのメリットを理解しやすくする必要があります。
開発者にトレーニングを追いかけさせるのはやめましょう。 1 日の仕事でやるべきことが多すぎることはすでにわかっています。では、開発者が急いで教室に行ったり、コンテキストを切り替えて静的な理論ベースのトレーニングを受ける 5 つのステップを踏む必要があるのでしょうか。
一般的なコンセンサスは、データ侵害の原因となる脆弱性の量がどうであれ、ほとんどの組織が行っていることはそれほど効果的ではないということです。ベライゾンの2020年データ漏えい調査報告書には、次のように明記されています。 データ漏えいの 43% はウェブの脆弱性に起因する可能性がある 。開発者は効果的なトレーニングを受けていない。高等教育でも、職場でのスキルアップ対策の一環でもない。もしそうなら、SQL インジェクションや昔ながらのような一般的な脆弱性です。 パストラバーサル 多額のデータ収入を得るために悪用されることもありませんし、サイバーセキュリティのスキル不足が制御不能になることもありません。
では、開発者がトレーニングを受けてセキュリティに精通する現在の環境であることを知っていても、その悪い結果に驚かされるのはなぜでしょうか。Jira、GitHub、IDE など、実際に作業しているスペースからアクセス可能な、よりスムーズで、より統合された、煩わしさの少ないトレーニング体験を実現することは、開発者と組織の両方にとってポジティブな効果をもたらすだけかもしれません。業界は、もはや贅沢品ではなくなった環境で、前に進み、セキュリティに対する意識をはるかに簡単にする必要があるだけです。
開発ワークフローを保護する準備はできていますか? セキュリティ意識の高い開発者は、そのスキルと、コード構築段階から組織に提供できる保護について高く評価されています。セキュリティはもはやオプションではありません。特に GDPR の罰金、PCI-DSS コンプライアンス規制、NIST のガバナンス... そして、数百万ドル規模の巨額の集団訴訟 (A'la Equifax) で訴えられる可能性もあるため、セキュリティはもはやオプションではありません。
統合的なアプローチは、混乱の少ない学習で開発者を獲得するきっかけとなり、より詳細なコースへの道筋を作り、セキュリティチャンピオンのトレーニングを行い、世界のデータを安全で健全に保つために必要な責任の共有を促すきっかけとなるかもしれません。ジラ そして GitHub さて、あなたの考えを教えてください。
