開発者はリスクの第一線なのか、それとも防御の最前線なのか?当社のセキュア・コーディング・チェックリストに照らして御社を評価してください
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
최고 경영자, 회장 겸 공동 설립자
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
최고 경영자, 회장 겸 공동 설립자
피터 댄히외는 보안 컨설턴트로 12년 이상 경력을 쌓았으며, 조직, 시스템 및 개인의 보안 취약점을 타겟팅하고 평가하는 방법에 대한 공격 기법을 가르치는 SANS의 수석 강사로 8년 이상 활동한 세계적으로 인정받는 보안 전문가입니다. 2016년에는 호주에서 가장 멋진 기술자 중 한 명으로 선정(비즈니스 인사이더)되었고, 올해의 사이버 보안 전문가(AISA - 호주 정보 보안 협회)로 선정되었으며, GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA 자격증을 보유하고 있습니다.
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
%20(1).avif)
.avif)
