安全な開発はAppSecの免疫システムであるべき
アプリケーションセキュリティの専門家として、組織のアプリケーションのサイバーセーフティを確保するのがあなたの仕事です。ただし、アプリケーションを実行するコードを書く責任はあなたにはありません。開発チーム内のエンジニアが担当します。では、セキュリティを念頭に置いてシステムを開発していることを確認するにはどうすればよいでしょうか。
ほとんどの場合、次の一部、またはすべてを実行しているはずです。
- すべてのコードにセキュリティ上の欠陥がないか確認し、開発チームに報告して修正します。
- 安全な開発ライフサイクル全体を通じて、厳格なピアレビュープロセスを実施します。
- 社内または社外のセキュリティチームによる定期的なアプリケーション評価/侵入テストを実施する。
- 脆弱性を検出するためのスキャンツールを実装します。
これらは優れたベストプラクティスですが、費用もかかり、病気になるたびに抗生物質を服用するのと似ています。これには高額な費用がかかるだけでなく、効能が失われ、時間が経つにつれて免疫系が弱まる可能性があります。
そもそも、開発者が出荷するコードが安全に記述されていることを実際に確認するにはどうすればよいのでしょうか。
安全なコーディングはさておき、まず人々がどのように学ぶかを考えてください。私たちのほとんどは視覚的な学習者であり、実践を通して学びます。それでも、セキュア・コード・トレーニングは「すぐに使える」アクティビティとして提供されることが多く、開発者の日常業務には関係ありません。これは、開発者が業界標準に準拠するためにセキュリティトレーニングを頻繁に受けていることを証明することを目的としており、開発者が実際にその知識を身につけること、ましてや学習プロセスを楽しむことは言うまでもありません。
人間が学ぶ傾向があるもう一つの方法は、免疫システムが学ぶのと同じように、間違いを通して学ぶことです。T細胞は、過去にどのような病原体に遭遇して根絶に成功したかを記憶しているので、将来それらから身を守ることができます。これこそまさに、開発者が果たすべき役割です。 安全です SDLC。
間違いを犯さないことを期待するのは非現実的ですが、将来セキュリティ上の脆弱性につながるコーディングパターンを認識できるように準備しておくことはできます。
これが、堅牢なピアレビュープロセスが非常に強力になる理由でもあります。ある開発者がセキュリティ上の欠陥に気づかないからといって、別の開発者が気づかないわけではなく、開発チーム全体のトレーニングが行き届いていればいるほど、脆弱性が彼らの足跡に引っかかり、本番環境には届かない可能性が高くなります。
ソフトウェアの脆弱性は病原体のようなものです
ソフトウェアの脆弱性は、対処するためには覚えておく必要があるという意味で病原体のようなものです。病原体の場合、重篤な病気やそれ以上の症状を避けるために、免疫系に何回も曝露しないといけないことが多いです。
脆弱なソフトウェアによるサイバー攻撃が成功すると、組織が深刻な機能不全に陥ったり、死滅したりする可能性があります。しかし、開発者が制御された環境で最初にソフトウェアの脆弱性に触れるようになれば、セキュアコーディングの知識とスキルを高め、定期的に実践することで、脅威に対する免疫力を高めることができます。
管理された環境で開発者をセキュリティ上の欠陥にさらす
病気から完全に身を守ることはできませんが、免疫システムを高め、できるだけ健康を維持するためにできることはあります。定期的な運動、健康的な食事、十分な睡眠などは、一般的に強い免疫システムに関連するライフスタイルの選択肢の1つです。しかし、これらすべてには少しの努力が必要であり、継続的でなければなりません。毎日ジョギングを1週間続けたり、1か月間飲酒をやめたりしても、全体的な健康状態はほとんど変わりません。また、ランニングを始めた初日に外に出て10kを走るのはお勧めできません。まず、心臓と筋肉を運動にさらす必要があります。また、自分の体と大好きな健康的な食べ物や運動のバランスが取れるようになるまで、少し実験する必要があることもわかっています。
安全なソフトウェア開発に関しても、それほど違いはありません。学習は時間をかけて実践しながら行われます。開発者がセキュアコーディングのスキルを定期的に高めるには、同じ継続的なトレーニングが必要です。言うまでもなく、ソフトウェア開発は常に進化し、適応しています。つまり、脆弱性も同様です。そのため、簡単なトレーニングコースだけでは不十分です。開発者は、潜在的な脅威に十分精通し、それらから防御するための適切な準備を整えるために、定期的なスキルアップが必要です。
開発チーム内での集団免疫の実現を目指す
1 人ですべてのセキュリティ問題を防ぐことはできません。チームにセキュリティチャンピオンがいるのは素晴らしいことですが、最善の保護を受けるには、セキュリティの脆弱性とその防止方法について学んだ人が増えれば増えるほど、組織がそれを防ぐ可能性が高まります。繰り返しになりますが、免疫系が目的に応じてさまざまな種類のT細胞を使用する方法と大差ありません。すべての開発者は、セキュリティを確保するチームの一員です。責任を取る権限を与えられ、それをうまく行い、さらには楽しんで取り組めるようになれば、結果として、開発チーム内でサイバー脅威に対する集団的免責を築くことができます。
繰り返し露出されることでセキュリティを最優先に
私たちの脳は、免疫システムが機能するのと同じような方法で学習します。ドイツの心理学者 ヘルマン・エビングハウス 記憶と学習の分野のパイオニアでした。彼は、学習は時間をかけて、複数の学習セッションを経て行われなければならないと推論しました。私たちが学校にいるとき、最初の導入後に新しい知識を身につけることは決して期待されていません。最初に情報が提示され、次にガイダンスを受けて練習し、次に自分で練習します。そして、試験に合格するほど十分に学んだ後でも、時間と労力をかけて学んだ知識を定期的に活用しなければ、すぐに情報が忘れられがちです。高校時代のフランス語を覚えていると言える人はどれくらいいますか?
では、ある日、スライドを見て、誰かがセキュリティについて話しているのを聞くだけで、出席している開発者がより安全にコーディングできるようになったとどうして信じられますか?
繰り返し発生する脆弱性のパターンから、これはまったく機能しないことがわかります。
安全な開発免疫を実現するにはどうすればよいでしょうか?
答えは私たちの本性にあります。私たちの体と心は同じように働き、問題に逆らわずに一緒に働く限り、問題に対する美しい解決策を提供します。
アプリケーションの安全性を確保するには、まず開発者に安全なコードを書くためのスキルアップから始める必要があります。そうしないと、AppSecは引き続きすべてのコードのセキュリティ欠陥の確認と、繰り返し発生する同じ脆弱性の開発チームへの報告に全時間を費やし、何も学ばずに迅速に修正することになります。そして、次のリリースに向けてもう一度やり直してください。
それでは繰り返しましょう。
開発マネージャーと協力してそれを行うと、安全なSDLCを実装し、コンプライアンスボックスのセキュリティトレーニング要件を満たすだけでなく、開発プロセスに現実的な影響を与えることができます。何よりも重要なのは、AppSecが脆弱性に繰り返し遭遇したり、開発チームに報告したりすることがなくなり、開発者が脆弱性の修正に費やす時間が減るということです。つまり、世界をより良くする素晴らしいソフトウェアの作成と改善に、より多くの時間を費やすことができるということです。
開発チームのスキルアップの準備はできていますか?さっそく進んで デモを予約 私たちと一緒に。
アプリケーションセキュリティの専門家として、組織のアプリケーションのサイバーセーフティを確保するのがあなたの仕事です。ただし、アプリケーションを実行するコードを書く責任はあなたにはありません。開発チーム内のエンジニアが担当します。では、セキュリティを念頭に置いてシステムを開発していることを確認するにはどうすればよいでしょうか。
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
이 글은 Secure Code Warrior의 업계 전문가 팀이 작성했습니다. 개발자가 처음부터 안전한 소프트웨어를 구축하기 위한 지식과 기술을 습득하는 것을 목표로 합니다. 보안 코딩 실천에 관한 깊은 전문 지식, 업계 동향, 현실 세계의 통찰력을 활용하고 있습니다.
アプリケーションセキュリティの専門家として、組織のアプリケーションのサイバーセーフティを確保するのがあなたの仕事です。ただし、アプリケーションを実行するコードを書く責任はあなたにはありません。開発チーム内のエンジニアが担当します。では、セキュリティを念頭に置いてシステムを開発していることを確認するにはどうすればよいでしょうか。
ほとんどの場合、次の一部、またはすべてを実行しているはずです。
- すべてのコードにセキュリティ上の欠陥がないか確認し、開発チームに報告して修正します。
- 安全な開発ライフサイクル全体を通じて、厳格なピアレビュープロセスを実施します。
- 社内または社外のセキュリティチームによる定期的なアプリケーション評価/侵入テストを実施する。
- 脆弱性を検出するためのスキャンツールを実装します。
これらは優れたベストプラクティスですが、費用もかかり、病気になるたびに抗生物質を服用するのと似ています。これには高額な費用がかかるだけでなく、効能が失われ、時間が経つにつれて免疫系が弱まる可能性があります。
そもそも、開発者が出荷するコードが安全に記述されていることを実際に確認するにはどうすればよいのでしょうか。
安全なコーディングはさておき、まず人々がどのように学ぶかを考えてください。私たちのほとんどは視覚的な学習者であり、実践を通して学びます。それでも、セキュア・コード・トレーニングは「すぐに使える」アクティビティとして提供されることが多く、開発者の日常業務には関係ありません。これは、開発者が業界標準に準拠するためにセキュリティトレーニングを頻繁に受けていることを証明することを目的としており、開発者が実際にその知識を身につけること、ましてや学習プロセスを楽しむことは言うまでもありません。
人間が学ぶ傾向があるもう一つの方法は、免疫システムが学ぶのと同じように、間違いを通して学ぶことです。T細胞は、過去にどのような病原体に遭遇して根絶に成功したかを記憶しているので、将来それらから身を守ることができます。これこそまさに、開発者が果たすべき役割です。 安全です SDLC。
間違いを犯さないことを期待するのは非現実的ですが、将来セキュリティ上の脆弱性につながるコーディングパターンを認識できるように準備しておくことはできます。
これが、堅牢なピアレビュープロセスが非常に強力になる理由でもあります。ある開発者がセキュリティ上の欠陥に気づかないからといって、別の開発者が気づかないわけではなく、開発チーム全体のトレーニングが行き届いていればいるほど、脆弱性が彼らの足跡に引っかかり、本番環境には届かない可能性が高くなります。
ソフトウェアの脆弱性は病原体のようなものです
ソフトウェアの脆弱性は、対処するためには覚えておく必要があるという意味で病原体のようなものです。病原体の場合、重篤な病気やそれ以上の症状を避けるために、免疫系に何回も曝露しないといけないことが多いです。
脆弱なソフトウェアによるサイバー攻撃が成功すると、組織が深刻な機能不全に陥ったり、死滅したりする可能性があります。しかし、開発者が制御された環境で最初にソフトウェアの脆弱性に触れるようになれば、セキュアコーディングの知識とスキルを高め、定期的に実践することで、脅威に対する免疫力を高めることができます。
管理された環境で開発者をセキュリティ上の欠陥にさらす
病気から完全に身を守ることはできませんが、免疫システムを高め、できるだけ健康を維持するためにできることはあります。定期的な運動、健康的な食事、十分な睡眠などは、一般的に強い免疫システムに関連するライフスタイルの選択肢の1つです。しかし、これらすべてには少しの努力が必要であり、継続的でなければなりません。毎日ジョギングを1週間続けたり、1か月間飲酒をやめたりしても、全体的な健康状態はほとんど変わりません。また、ランニングを始めた初日に外に出て10kを走るのはお勧めできません。まず、心臓と筋肉を運動にさらす必要があります。また、自分の体と大好きな健康的な食べ物や運動のバランスが取れるようになるまで、少し実験する必要があることもわかっています。
安全なソフトウェア開発に関しても、それほど違いはありません。学習は時間をかけて実践しながら行われます。開発者がセキュアコーディングのスキルを定期的に高めるには、同じ継続的なトレーニングが必要です。言うまでもなく、ソフトウェア開発は常に進化し、適応しています。つまり、脆弱性も同様です。そのため、簡単なトレーニングコースだけでは不十分です。開発者は、潜在的な脅威に十分精通し、それらから防御するための適切な準備を整えるために、定期的なスキルアップが必要です。
開発チーム内での集団免疫の実現を目指す
1 人ですべてのセキュリティ問題を防ぐことはできません。チームにセキュリティチャンピオンがいるのは素晴らしいことですが、最善の保護を受けるには、セキュリティの脆弱性とその防止方法について学んだ人が増えれば増えるほど、組織がそれを防ぐ可能性が高まります。繰り返しになりますが、免疫系が目的に応じてさまざまな種類のT細胞を使用する方法と大差ありません。すべての開発者は、セキュリティを確保するチームの一員です。責任を取る権限を与えられ、それをうまく行い、さらには楽しんで取り組めるようになれば、結果として、開発チーム内でサイバー脅威に対する集団的免責を築くことができます。
繰り返し露出されることでセキュリティを最優先に
私たちの脳は、免疫システムが機能するのと同じような方法で学習します。ドイツの心理学者 ヘルマン・エビングハウス 記憶と学習の分野のパイオニアでした。彼は、学習は時間をかけて、複数の学習セッションを経て行われなければならないと推論しました。私たちが学校にいるとき、最初の導入後に新しい知識を身につけることは決して期待されていません。最初に情報が提示され、次にガイダンスを受けて練習し、次に自分で練習します。そして、試験に合格するほど十分に学んだ後でも、時間と労力をかけて学んだ知識を定期的に活用しなければ、すぐに情報が忘れられがちです。高校時代のフランス語を覚えていると言える人はどれくらいいますか?
では、ある日、スライドを見て、誰かがセキュリティについて話しているのを聞くだけで、出席している開発者がより安全にコーディングできるようになったとどうして信じられますか?
繰り返し発生する脆弱性のパターンから、これはまったく機能しないことがわかります。
安全な開発免疫を実現するにはどうすればよいでしょうか?
答えは私たちの本性にあります。私たちの体と心は同じように働き、問題に逆らわずに一緒に働く限り、問題に対する美しい解決策を提供します。
アプリケーションの安全性を確保するには、まず開発者に安全なコードを書くためのスキルアップから始める必要があります。そうしないと、AppSecは引き続きすべてのコードのセキュリティ欠陥の確認と、繰り返し発生する同じ脆弱性の開発チームへの報告に全時間を費やし、何も学ばずに迅速に修正することになります。そして、次のリリースに向けてもう一度やり直してください。
それでは繰り返しましょう。
開発マネージャーと協力してそれを行うと、安全なSDLCを実装し、コンプライアンスボックスのセキュリティトレーニング要件を満たすだけでなく、開発プロセスに現実的な影響を与えることができます。何よりも重要なのは、AppSecが脆弱性に繰り返し遭遇したり、開発チームに報告したりすることがなくなり、開発者が脆弱性の修正に費やす時間が減るということです。つまり、世界をより良くする素晴らしいソフトウェアの作成と改善に、より多くの時間を費やすことができるということです。
開発チームのスキルアップの準備はできていますか?さっそく進んで デモを予約 私たちと一緒に。
アプリケーションセキュリティの専門家として、組織のアプリケーションのサイバーセーフティを確保するのがあなたの仕事です。ただし、アプリケーションを実行するコードを書く責任はあなたにはありません。開発チーム内のエンジニアが担当します。では、セキュリティを念頭に置いてシステムを開発していることを確認するにはどうすればよいでしょうか。
ほとんどの場合、次の一部、またはすべてを実行しているはずです。
- すべてのコードにセキュリティ上の欠陥がないか確認し、開発チームに報告して修正します。
- 安全な開発ライフサイクル全体を通じて、厳格なピアレビュープロセスを実施します。
- 社内または社外のセキュリティチームによる定期的なアプリケーション評価/侵入テストを実施する。
- 脆弱性を検出するためのスキャンツールを実装します。
これらは優れたベストプラクティスですが、費用もかかり、病気になるたびに抗生物質を服用するのと似ています。これには高額な費用がかかるだけでなく、効能が失われ、時間が経つにつれて免疫系が弱まる可能性があります。
そもそも、開発者が出荷するコードが安全に記述されていることを実際に確認するにはどうすればよいのでしょうか。
安全なコーディングはさておき、まず人々がどのように学ぶかを考えてください。私たちのほとんどは視覚的な学習者であり、実践を通して学びます。それでも、セキュア・コード・トレーニングは「すぐに使える」アクティビティとして提供されることが多く、開発者の日常業務には関係ありません。これは、開発者が業界標準に準拠するためにセキュリティトレーニングを頻繁に受けていることを証明することを目的としており、開発者が実際にその知識を身につけること、ましてや学習プロセスを楽しむことは言うまでもありません。
人間が学ぶ傾向があるもう一つの方法は、免疫システムが学ぶのと同じように、間違いを通して学ぶことです。T細胞は、過去にどのような病原体に遭遇して根絶に成功したかを記憶しているので、将来それらから身を守ることができます。これこそまさに、開発者が果たすべき役割です。 安全です SDLC。
間違いを犯さないことを期待するのは非現実的ですが、将来セキュリティ上の脆弱性につながるコーディングパターンを認識できるように準備しておくことはできます。
これが、堅牢なピアレビュープロセスが非常に強力になる理由でもあります。ある開発者がセキュリティ上の欠陥に気づかないからといって、別の開発者が気づかないわけではなく、開発チーム全体のトレーニングが行き届いていればいるほど、脆弱性が彼らの足跡に引っかかり、本番環境には届かない可能性が高くなります。
ソフトウェアの脆弱性は病原体のようなものです
ソフトウェアの脆弱性は、対処するためには覚えておく必要があるという意味で病原体のようなものです。病原体の場合、重篤な病気やそれ以上の症状を避けるために、免疫系に何回も曝露しないといけないことが多いです。
脆弱なソフトウェアによるサイバー攻撃が成功すると、組織が深刻な機能不全に陥ったり、死滅したりする可能性があります。しかし、開発者が制御された環境で最初にソフトウェアの脆弱性に触れるようになれば、セキュアコーディングの知識とスキルを高め、定期的に実践することで、脅威に対する免疫力を高めることができます。
管理された環境で開発者をセキュリティ上の欠陥にさらす
病気から完全に身を守ることはできませんが、免疫システムを高め、できるだけ健康を維持するためにできることはあります。定期的な運動、健康的な食事、十分な睡眠などは、一般的に強い免疫システムに関連するライフスタイルの選択肢の1つです。しかし、これらすべてには少しの努力が必要であり、継続的でなければなりません。毎日ジョギングを1週間続けたり、1か月間飲酒をやめたりしても、全体的な健康状態はほとんど変わりません。また、ランニングを始めた初日に外に出て10kを走るのはお勧めできません。まず、心臓と筋肉を運動にさらす必要があります。また、自分の体と大好きな健康的な食べ物や運動のバランスが取れるようになるまで、少し実験する必要があることもわかっています。
安全なソフトウェア開発に関しても、それほど違いはありません。学習は時間をかけて実践しながら行われます。開発者がセキュアコーディングのスキルを定期的に高めるには、同じ継続的なトレーニングが必要です。言うまでもなく、ソフトウェア開発は常に進化し、適応しています。つまり、脆弱性も同様です。そのため、簡単なトレーニングコースだけでは不十分です。開発者は、潜在的な脅威に十分精通し、それらから防御するための適切な準備を整えるために、定期的なスキルアップが必要です。
開発チーム内での集団免疫の実現を目指す
1 人ですべてのセキュリティ問題を防ぐことはできません。チームにセキュリティチャンピオンがいるのは素晴らしいことですが、最善の保護を受けるには、セキュリティの脆弱性とその防止方法について学んだ人が増えれば増えるほど、組織がそれを防ぐ可能性が高まります。繰り返しになりますが、免疫系が目的に応じてさまざまな種類のT細胞を使用する方法と大差ありません。すべての開発者は、セキュリティを確保するチームの一員です。責任を取る権限を与えられ、それをうまく行い、さらには楽しんで取り組めるようになれば、結果として、開発チーム内でサイバー脅威に対する集団的免責を築くことができます。
繰り返し露出されることでセキュリティを最優先に
私たちの脳は、免疫システムが機能するのと同じような方法で学習します。ドイツの心理学者 ヘルマン・エビングハウス 記憶と学習の分野のパイオニアでした。彼は、学習は時間をかけて、複数の学習セッションを経て行われなければならないと推論しました。私たちが学校にいるとき、最初の導入後に新しい知識を身につけることは決して期待されていません。最初に情報が提示され、次にガイダンスを受けて練習し、次に自分で練習します。そして、試験に合格するほど十分に学んだ後でも、時間と労力をかけて学んだ知識を定期的に活用しなければ、すぐに情報が忘れられがちです。高校時代のフランス語を覚えていると言える人はどれくらいいますか?
では、ある日、スライドを見て、誰かがセキュリティについて話しているのを聞くだけで、出席している開発者がより安全にコーディングできるようになったとどうして信じられますか?
繰り返し発生する脆弱性のパターンから、これはまったく機能しないことがわかります。
安全な開発免疫を実現するにはどうすればよいでしょうか?
答えは私たちの本性にあります。私たちの体と心は同じように働き、問題に逆らわずに一緒に働く限り、問題に対する美しい解決策を提供します。
アプリケーションの安全性を確保するには、まず開発者に安全なコードを書くためのスキルアップから始める必要があります。そうしないと、AppSecは引き続きすべてのコードのセキュリティ欠陥の確認と、繰り返し発生する同じ脆弱性の開発チームへの報告に全時間を費やし、何も学ばずに迅速に修正することになります。そして、次のリリースに向けてもう一度やり直してください。
それでは繰り返しましょう。
開発マネージャーと協力してそれを行うと、安全なSDLCを実装し、コンプライアンスボックスのセキュリティトレーニング要件を満たすだけでなく、開発プロセスに現実的な影響を与えることができます。何よりも重要なのは、AppSecが脆弱性に繰り返し遭遇したり、開発チームに報告したりすることがなくなり、開発者が脆弱性の修正に費やす時間が減るということです。つまり、世界をより良くする素晴らしいソフトウェアの作成と改善に、より多くの時間を費やすことができるということです。
開発チームのスキルアップの準備はできていますか?さっそく進んで デモを予約 私たちと一緒に。
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
보고서 표시데모 예약
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
이 글은 Secure Code Warrior의 업계 전문가 팀이 작성했습니다. 개발자가 처음부터 안전한 소프트웨어를 구축하기 위한 지식과 기술을 습득하는 것을 목표로 합니다. 보안 코딩 실천에 관한 깊은 전문 지식, 업계 동향, 현실 세계의 통찰력을 활용하고 있습니다.
アプリケーションセキュリティの専門家として、組織のアプリケーションのサイバーセーフティを確保するのがあなたの仕事です。ただし、アプリケーションを実行するコードを書く責任はあなたにはありません。開発チーム内のエンジニアが担当します。では、セキュリティを念頭に置いてシステムを開発していることを確認するにはどうすればよいでしょうか。
ほとんどの場合、次の一部、またはすべてを実行しているはずです。
- すべてのコードにセキュリティ上の欠陥がないか確認し、開発チームに報告して修正します。
- 安全な開発ライフサイクル全体を通じて、厳格なピアレビュープロセスを実施します。
- 社内または社外のセキュリティチームによる定期的なアプリケーション評価/侵入テストを実施する。
- 脆弱性を検出するためのスキャンツールを実装します。
これらは優れたベストプラクティスですが、費用もかかり、病気になるたびに抗生物質を服用するのと似ています。これには高額な費用がかかるだけでなく、効能が失われ、時間が経つにつれて免疫系が弱まる可能性があります。
そもそも、開発者が出荷するコードが安全に記述されていることを実際に確認するにはどうすればよいのでしょうか。
安全なコーディングはさておき、まず人々がどのように学ぶかを考えてください。私たちのほとんどは視覚的な学習者であり、実践を通して学びます。それでも、セキュア・コード・トレーニングは「すぐに使える」アクティビティとして提供されることが多く、開発者の日常業務には関係ありません。これは、開発者が業界標準に準拠するためにセキュリティトレーニングを頻繁に受けていることを証明することを目的としており、開発者が実際にその知識を身につけること、ましてや学習プロセスを楽しむことは言うまでもありません。
人間が学ぶ傾向があるもう一つの方法は、免疫システムが学ぶのと同じように、間違いを通して学ぶことです。T細胞は、過去にどのような病原体に遭遇して根絶に成功したかを記憶しているので、将来それらから身を守ることができます。これこそまさに、開発者が果たすべき役割です。 安全です SDLC。
間違いを犯さないことを期待するのは非現実的ですが、将来セキュリティ上の脆弱性につながるコーディングパターンを認識できるように準備しておくことはできます。
これが、堅牢なピアレビュープロセスが非常に強力になる理由でもあります。ある開発者がセキュリティ上の欠陥に気づかないからといって、別の開発者が気づかないわけではなく、開発チーム全体のトレーニングが行き届いていればいるほど、脆弱性が彼らの足跡に引っかかり、本番環境には届かない可能性が高くなります。
ソフトウェアの脆弱性は病原体のようなものです
ソフトウェアの脆弱性は、対処するためには覚えておく必要があるという意味で病原体のようなものです。病原体の場合、重篤な病気やそれ以上の症状を避けるために、免疫系に何回も曝露しないといけないことが多いです。
脆弱なソフトウェアによるサイバー攻撃が成功すると、組織が深刻な機能不全に陥ったり、死滅したりする可能性があります。しかし、開発者が制御された環境で最初にソフトウェアの脆弱性に触れるようになれば、セキュアコーディングの知識とスキルを高め、定期的に実践することで、脅威に対する免疫力を高めることができます。
管理された環境で開発者をセキュリティ上の欠陥にさらす
病気から完全に身を守ることはできませんが、免疫システムを高め、できるだけ健康を維持するためにできることはあります。定期的な運動、健康的な食事、十分な睡眠などは、一般的に強い免疫システムに関連するライフスタイルの選択肢の1つです。しかし、これらすべてには少しの努力が必要であり、継続的でなければなりません。毎日ジョギングを1週間続けたり、1か月間飲酒をやめたりしても、全体的な健康状態はほとんど変わりません。また、ランニングを始めた初日に外に出て10kを走るのはお勧めできません。まず、心臓と筋肉を運動にさらす必要があります。また、自分の体と大好きな健康的な食べ物や運動のバランスが取れるようになるまで、少し実験する必要があることもわかっています。
安全なソフトウェア開発に関しても、それほど違いはありません。学習は時間をかけて実践しながら行われます。開発者がセキュアコーディングのスキルを定期的に高めるには、同じ継続的なトレーニングが必要です。言うまでもなく、ソフトウェア開発は常に進化し、適応しています。つまり、脆弱性も同様です。そのため、簡単なトレーニングコースだけでは不十分です。開発者は、潜在的な脅威に十分精通し、それらから防御するための適切な準備を整えるために、定期的なスキルアップが必要です。
開発チーム内での集団免疫の実現を目指す
1 人ですべてのセキュリティ問題を防ぐことはできません。チームにセキュリティチャンピオンがいるのは素晴らしいことですが、最善の保護を受けるには、セキュリティの脆弱性とその防止方法について学んだ人が増えれば増えるほど、組織がそれを防ぐ可能性が高まります。繰り返しになりますが、免疫系が目的に応じてさまざまな種類のT細胞を使用する方法と大差ありません。すべての開発者は、セキュリティを確保するチームの一員です。責任を取る権限を与えられ、それをうまく行い、さらには楽しんで取り組めるようになれば、結果として、開発チーム内でサイバー脅威に対する集団的免責を築くことができます。
繰り返し露出されることでセキュリティを最優先に
私たちの脳は、免疫システムが機能するのと同じような方法で学習します。ドイツの心理学者 ヘルマン・エビングハウス 記憶と学習の分野のパイオニアでした。彼は、学習は時間をかけて、複数の学習セッションを経て行われなければならないと推論しました。私たちが学校にいるとき、最初の導入後に新しい知識を身につけることは決して期待されていません。最初に情報が提示され、次にガイダンスを受けて練習し、次に自分で練習します。そして、試験に合格するほど十分に学んだ後でも、時間と労力をかけて学んだ知識を定期的に活用しなければ、すぐに情報が忘れられがちです。高校時代のフランス語を覚えていると言える人はどれくらいいますか?
では、ある日、スライドを見て、誰かがセキュリティについて話しているのを聞くだけで、出席している開発者がより安全にコーディングできるようになったとどうして信じられますか?
繰り返し発生する脆弱性のパターンから、これはまったく機能しないことがわかります。
安全な開発免疫を実現するにはどうすればよいでしょうか?
答えは私たちの本性にあります。私たちの体と心は同じように働き、問題に逆らわずに一緒に働く限り、問題に対する美しい解決策を提供します。
アプリケーションの安全性を確保するには、まず開発者に安全なコードを書くためのスキルアップから始める必要があります。そうしないと、AppSecは引き続きすべてのコードのセキュリティ欠陥の確認と、繰り返し発生する同じ脆弱性の開発チームへの報告に全時間を費やし、何も学ばずに迅速に修正することになります。そして、次のリリースに向けてもう一度やり直してください。
それでは繰り返しましょう。
開発マネージャーと協力してそれを行うと、安全なSDLCを実装し、コンプライアンスボックスのセキュリティトレーニング要件を満たすだけでなく、開発プロセスに現実的な影響を与えることができます。何よりも重要なのは、AppSecが脆弱性に繰り返し遭遇したり、開発チームに報告したりすることがなくなり、開発者が脆弱性の修正に費やす時間が減るということです。つまり、世界をより良くする素晴らしいソフトウェアの作成と改善に、より多くの時間を費やすことができるということです。
開発チームのスキルアップの準備はできていますか?さっそく進んで デモを予約 私たちと一緒に。
목차
시큐어 코드 워리어는 개발자가 기술을 향상시킬수록 보안 코딩을 긍정적이고 매력적인 경험으로 만듭니다. 보안 기술을 갖춘 개발자가 연결된 세상에서 일상적으로 슈퍼히어로가 될 수 있도록, 각 코더가 원하는 학습 경로로 안내합니다.
Secure Code Warrior는 소프트웨어 개발 라이프사이클 전반에 걸쳐 코드를 보호하고 사이버보안을 최우선으로 하는 문화를 구축하는 데 도움을 드립니다. 애플리케이션 보안 관리자, 개발자, CISO 또는 보안 담당자이든, 안전하지 않은 코드와 관련된 위험을 줄이는 데 도움을 드립니다.
데모 예약[다운로드]
%20(1).avif)
.avif)
