優秀なDevSecOpsエンジニアになる方法
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
世界はウォーターフォール、アジャイル、そして今はDevOpsに移行し始めています。では、次の解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
마티아스는 15년 이상의 소프트웨어 보안 실무 경험을 가진 연구자이자 개발자입니다. 포티파이 소프트웨어(Fortify Software)와 자신의 회사인 센세이 시큐리티(Sensei Security) 등 기업을 대상으로 솔루션을 개발해 왔습니다. 마티아스는 경력 전반에 걸쳐 여러 애플리케이션 보안 연구 프로젝트를 주도했으며, 이는 상용 제품으로 이어져 10건 이상의 특허를 취득했습니다.업무 외 시간에는 마티아스는 고급 애플리케이션 보안 교육 과정의 강사로 활동하며, RSA 컨퍼런스, 블랙햇, 디프콘, BSIMM, OWASP 앱섹, 브루콘 등 글로벌 컨퍼런스에서 정기적으로 발표를 진행하고 있습니다.
마티아스는 겐트 대학교에서 컴퓨터 공학 박사 학위를 취득했으며, 그곳에서 애플리케이션의 내부 동작을 숨기기 위한 프로그램 난독화를 통한 애플리케이션 보안을 연구했습니다.
テクノロジーそのものと同様に、コード開発のためのツール、テクニック、最適なプロセスは急速に進化しています。私たち人間は、より多くのソフトウェア、より多くの機能、より多くの機能に対する飽くなきニーズを抱えています。そして、これまで以上に速く、より質的に、そして何よりも安全であることを望んでいます。ほんの数年前までは、大きな作業を小さな断片に分割し、顧客からの迅速なフィードバックサイクルに迅速に適応できるようにするために、次に使われていたのがアジャイル開発でした。それ以前は、ウォーターフォール方式が主流でした。
多くの人々や組織がウォーターフォールからアジャイルに移行しつつあり、誰もがまだ移行しているわけではありませんが、彼らはすでに新しい問題に直面しています。開発チームと運用担当者は依然としてサイロ化された状態で働いています。このような環境で、アジャイル方式で取り組む小規模チームが、より迅速なデプロイとより迅速なデリバリーという約束を実現するにはどうすればよいでしょうか。
DevOpsは、開発と運用を組み合わせた名前で、新しいソフトウェアを作成する際に開発者と運用チームの両方の機能を統合するために作成されました。これは本質的に、開発者が物事を運用チームに任せて責任を取るのではなく、開発者が物事を本番環境に持ち込むためのオーナーシップを得られるようにするためでした。
一日に2、3回でも出荷速度が速くなることは確かです。これはアジャイルの路地ではうまくいくようです。しかし、DevOps では依然として、エンジニアと運用担当者が混在する 1 つの大きなチームができあがり、実際にはアジャイルとの連携が取れていない可能性があります。最終的には、DevOps はアジャイルの進化と考えるのが一番です。方法論は多くの点で似ていて、相違点も補完し合っているからです。DevOps は自動化された継続的インテグレーションとデプロイメントのパイプラインを推進しています。これは頻繁なリリースを実現するために不可欠ですが、チームレベルではそれだけでは十分ではありません。そこで、アジャイルの出番です。アジャイルにより、チーム、特に小規模チームは、これらの迅速なリリースや変化する要件に対応しながら、タスクに取り組み、コラボレーションを続けることができます。確かに理想的に思えますし、そのプロセスによってチームは最終目標に向かって順調に進むことができますが、それ自体に問題がないわけではありません。
DevOps のベストプラクティスを使用して作成されたソフトウェアは、最初のボス戦、つまりセキュリティチームでまだつまずく可能性があります。従来型/ウォーターフォール型のアプリケーション・セキュリティ・スペシャリストが、ツールや複雑な手動レビューを行ってコードを調べると、容認できないリスクや脆弱性が発見されることが多く、それらは事後に修正する必要があります。完成したアプリケーションにセキュリティ修正を組み込むプロセスは迅速でも簡単でもありません。しかも、組織にとってははるかに費用がかかります。
では、世界がウォーターフォール、アジャイル、そして今はDevOpsに移行しているとしたら、解決策は何でしょうか?そして、こうしたアプローチの変化に遅れずについていく上で、開発者としてのあなたの役割は何でしょうか?
開発技術は常に進化していますが、ありがたいことに、これはそれほど大きな変化ではありません。組織は「DevOps」に「Sec」を入れるだけでよいのです... こうして DevSecOps が生まれました。DevSecOps の主な目標は、開発、運用、そして最後になりましたが、セキュリティチーム間の障壁を打ち破り、オープンなコラボレーションを行うことです。DevSecOpsは、ソフトウェアエンジニアリングの戦術であると同時に、ソフトウェア開発ライフサイクル全体を通じてセキュリティの自動化と監視を提唱する文化でもあります。
これは組織レベルの別のプロセスのように思えるかもしれません。開発する機能がたくさんある開発者にとっては「料理人が多すぎる」プロセスかもしれません。しかし、DevSecOps の方法論は、セキュリティ意識の高い開発者が本当に輝ける機会をもたらします。
DevSecOpsの明るい未来
では、なぜコーダーがDevSecOpsエンジニアになりたいと思うのでしょうか。DevOps (またはアジャイル) の経験はあるものの、DevSecOps に習熟するために次のステップを踏み出したいと考えているかもしれません。まず、これはコストのかかるサイバー攻撃から世界を守ることだけを目的とするものではなく、非常に賢明な方法であることを知っておくとよいでしょう。専門家はこう言っています の需要 有能なサイバーセキュリティ担当者は、終わりが見えないまま急増しています。DevSecOps をマスターした人には、長く収益性の高いキャリアが期待できます。
さまざまなソフトウェアベースのツールを使った脆弱性スキャンのような従来のサイバーセキュリティ戦術とは異なり、DevSecOpsにはコーディング時にセキュリティを実装する方法を知っている人が必要なため、DevSecOpsエンジニアの雇用保障はさらに確実になります。Booz、Allen、Hamiltonのアナリストがブログで指摘しているように、「 DevSecOps 導入に関する 5 つの神話 組織はDevSecOpsを望み、必要とさえしていますが、単に購入することはできません。DevSecOps は、ソフトウェア開発ライフサイクル全体にわたって、部門の枠を超えたチームがテクノロジーを統合して共同作業できるようにする方法論であり、熟練した人材、変更管理、複数の利害関係者による継続的な取り組みが必要です。
Booz、Allen、Hamiltonによると、企業はリリース管理ソフトウェアなど、DevSecOpsの特定の側面に役立つアプリやツールを購入できますが、「それを実現させるのは実際にはデリバリーチームです」。DevSecOps が提供する継続的な改善と、その文化やパラダイムシフトを推進しているのは彼らです。
組織は実行可能なDevSecOpsプログラムを「購入」することはできません。さまざまなツール、社内の知識、ガイダンスを利用して、セキュリティ文化を高めると同時にビジネス上意味のあるプログラムを構築、維持する必要があります。簡単ではありませんが、不可能とはほど遠いものです。
DevSecOps ムーブメントに参加するにはどうすればよいか
DevSecOpsエンジニアになるための第一歩は、DevSecOpsが一連の技術であると同時に文化でもあることを認識することです。それには、作成するあらゆるコードの一部としてセキュリティを実装する意志と、コーディング時にセキュリティの欠陥や脆弱性を積極的に探し、本番環境に移行するずっと前に修正することで組織を積極的に保護したいという願望が必要です。ほとんどの DevSecOps エンジニアは、自分の職業とスキルを非常に真剣に受け止めています。DevSecOps プロフェッショナル組織ですらあります。 マニフェストがあります 彼らの信念を述べる。
マニフェストは読みやすくなることはめったにないので、マニフェストはちょっと手間がかかります。しかし、その中核には、優れたDevSecOpsエンジニア全員が学ぶべき真実がいくつかあります。たとえば、次のようないくつかの真実があります。
- アプリケーションセキュリティチームが味方であることを実感してください。ほとんどの組織では、AppSecのスペシャリストは開発者と対立しています。なぜなら、彼らは常に完成したコードをさらなる作業のために送り返しているからです。AppSecチームは、一般的なセキュリティバグの導入により、完成したコードが本番環境に移行するのを遅らせることがあるため、開発者をあまり愛さないことがよくあります。しかし、賢い DevSecOps エンジニアであれば、セキュリティチームの目標は最終的には開発者やコーダーと同じであることに気付くでしょう。親友である必要はありませんが、穏やかで協力的な仕事上の関係を築くことは成功に不可欠です。
- 安全なコーディングテクニックを実践し、磨きをかけましょう。 開発中にアプリが脆弱になる方法を見つけることができれば、それらの抜け穴を塞ぐことで、将来のハッカーを阻止することができます。もちろん、そのためには脆弱性の理解と、それを修正するためのツールの両方が必要です。は セキュア・コード・ウォリアーのブログ ページでは、遭遇する最も一般的で危険な脆弱性についての洞察が得られるだけでなく、知識をテストするための実践的なアドバイスや課題も記載されています。最も重要なことは、セキュリティを念頭に置き、既存の知識をさらに深めるのに役立つ簡単なトレーニングに時間を割くことです。開発者のセキュリティに対するやりとりは、ほとんど目立たず、否定的なものでさえあるのが一般的ですが、セキュリティのスキルアップは素晴らしいキャリアアップであり、面倒な作業である必要はありません。
- 覚えておいてください。DevSecOpsのスーパースターは、組織のポジティブなセキュリティ文化に貢献しています。 固有の問題に関係なくアプリを迅速に提供するという過去の目標に焦点を当てるのではなく、コード開発における脆弱性の発見と修正を最優先事項にすることが重要です。セキュリティは全員の仕事と見なさなければならず、効果的で安全性の高いアプリケーションを毎回デプロイすることから得られる賞賛と報酬を全員が分かち合うべきです。
安全なコーディングとセキュリティのベストプラクティスをゼロから推進し、トレーニングソリューションを推奨し、すべてが手を取り巻くペースの速いDevSecOpsの世界でコーダーが取り残されないようにすることで、組織で素晴らしいセキュリティ文化を育むことができます。唯一の良いコードは安全なコードであり、熟練したセキュリティ意識の高い開発者はパズルの重要なピースです。個人的および職業的な報酬は、確かに努力するだけの価値があり、毎年何十億もの個人データ記録が侵害されている(そして増え続けている)ため、私たちはあなたを必要としています。最前線に立ち、デジタル世界の悪者から身を守るのを手伝ってください。
マティアス・マドゥ博士は、のCTO兼共同創設者です セキュア・コード・ウォリアー。彼はセキュリティの専門家であり、長年の開発者であり、フォートナイト中毒者です。
목차
마티아스 마두 박사는 보안 전문가, 연구원, CTO, 그리고 Secure Code Warrior의 공동 창립자입니다. 마티아스는 겐트 대학교에서 정적 분석 솔루션을 중심으로 애플리케이션 보안 분야 박사 학위를 취득했습니다.이후 미국의 Fortify에 합류하여 개발자가 안전한 코드를 작성하도록 지원하지 않고 단순히 코드 문제를 탐지하는 것만으로는 불충분하다는 점을 깨달았습니다. 이를 계기로 개발자를 지원하고 보안 부담을 줄이며 고객 기대를 뛰어넘는 제품을 개발하게 되었습니다. Team Awesome의 일원으로 책상에 있지 않을 때는 RSA 컨퍼런스, BlackHat, DefCon 등의 컨퍼런스에서 발표하는 무대 발표를 즐깁니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
