開発者はリスクの第一線なのか、それとも防御の最前線なのか?当社のセキュア・コーディング・チェックリストに照らして御社を評価してください
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
