開発者トーナメント:セキュリティ文化とエンゲージメントを向上させるためのAppSecの秘密兵器
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
ゼロから何かを作り、熟練したスキルと経験を駆使して、小さくても特別な世界に足跡を残すことを想像してみてください。一人でもチームの一員でも、何もないところから何かを作ることに心と魂を注ぎます。赤ちゃんが最高の状態であることを確認するために、数百時間、場合によっては数千時間を費やします。完了すると、その達成感の波はそれ自体がご褒美のように感じられます。
さて、ネタバレスポーツがやって来て、それほど良くないと言っているところを想像してみてください。おそらく彼らはさらに一歩進んで、「いや、あなたが犠牲にしたエネルギー、時間、愛にもかかわらず、実際には使えない。壊れている」と言うのでしょう。要するに、赤ちゃんは醜いと言っているのです。
上記のシナリオは緊張を招くに違いありません。結局のところ、自分の努力がばらばらになり、不十分だと非難されたいと思う人はいないでしょう。悲しいことに、多くの開発者にとって、これが彼らとAppSecチームとの関係の現実になりかねません。開発者の主な責任は、機能的で機能が豊富で、厳しいプロジェクト期限内に納品されるソフトウェアを構築することです。セキュリティが優先されることはめったになく、迅速な提供とイノベーションを妨げるものと見なされることさえあります。AppSecには、コードを綿密にチェックし、ペンテストを行い、悪いニュースを報告するといううらやましい仕事があります。それは、すでにコミットされていることが多いコードにセキュリティ上の脆弱性があるということです。多くの場合、リソースと時間がかかる環境では、コストのかかるプロセスです。このセットアップによって、目標は同じでも、話す言語が非常に異なるため対立しているように見える 2 つのチーム間で亀裂が生じます。
そろそろ警備のイメージチェンジをする時だと思わない?会話を変えて、すべてがもう少しポジティブになるのと同じくらい簡単です (楽しいことは言うまでもありません!)双方にとって、特に開発チームにとって。
教室の外で、ゲームアリーナへ
多くの開発者が安全なコーディングについてあまり学ばずに職業訓練を修了しているため、セキュリティ教育の最初のタッチポイントは、社会に出たときであることがよくあります。クラスルームベースのトレーニングはよく使われるソリューションの 1 つですが、機能の提供から貴重な時間を奪ってしまいます (そして、正直に言うと、教師やコンテンツの刺激が十分でないと、誰にとっても時間の無駄を忘れがちです)。また、ビデオコース、紙ベースの試験、一般的な企業セキュリティポリシー教育もあります。これらはすべて具体的でないため、平均的な開発者の日常業務では役に立たない場合があります。
多くの場合、これは「ボックスにチェックを入れて次に進む」コンプライアンス演習として扱われ、逆の効果をもたらすことも多すぎます。つまり、アプリケーションセキュリティと開発チームの間に大きな亀裂が生じるだけです。結局のところ、従来のトレーニングは、業界として私たちが切実に求めているようなセキュリティ文化とコンプライアンスにプラスの効果をもたらしているようには見えません。 私たちは同じ過ちを犯し続けています。
共通弱点列挙によると(CWE)コミュニティ、700以上あります 共通 対処すべきソフトウェアセキュリティの弱点SQL インジェクションのように、次のようなものもあります まだ潰されていないゴキブリ 20年以上存在しているにもかかわらず。私たち 知っている 修正方法。トレーニングは、開発者が問題や他の多くの問題を阻止できるようにするためのものですが、ペンテストや手動によるコードレビュープロセスでは、これらの違反が継続的に特定されます。
もしかしたら、私たちはすべて間違った見方をしてきたのかもしれません。そして、私たちは業界として、実行可能な教育に別の角度から取り組む必要があります。それは、開発者が大切にしている素晴らしいスキルを活用するためです。彼らは創造的で好奇心旺盛な問題解決者であり、挑戦が大好きです。セキュリティトレーニングをゲーミフィケーションすることは、自分の言語を話し、実践することで練習できるようにすることです。そして、途中でセキュリティに夢中になるかもしれません。
ちょっと健全な競争
中核的な (かなり不正確な) ツールへの依存、費用のかかるペンテスト、そして希少なAppSecスペシャリストは、セキュリティのブラックホールに深く陥ることになります。私たちの生活とプライバシーの多くがオンラインで存在しているため、データを保護する仮想要塞に企業が引き続き警戒を怠ることはできません。世界のデジタル変革によりソフトウェアへの依存度が高まる中、私たちはずっとオフィスに座っていたスーパーヒーロー、つまり開発チームに目を向ける必要があります。
関連する言語とフレームワークによるゲーミフィケーショントレーニングは、AppSecマネージャーがビジネス内のセキュリティ文化を変革し始めるための強力なツールです。このトレーニングから、開発者は想像を絶するほどエキサイティングな、楽しいトーナメント環境で、新しく構築したセキュリティ能力を発揮できます。その方法を見てみましょう。 IAG の「ゲーム・オブ・コード」 得た みんな 組織内のセキュリティについて話しています。
セキュア・コード・ウォリアーズ トーナメントモジュール は、測定されたトレーニングへの取り組みにちょっとした上限を設けるだけではありません。各開発者が自分のスキルを検証したり、トレーニング開始からどれだけ進歩したかを確認したり、改善が必要な分野を特定したりできるプラットフォームです。競争という側面は、チーム内の強固なセキュリティ文化とより広範なビジネスの成長を支えるために、報酬や表彰を利用して、セキュリティに積極的に取り組む動機となります。
困難ではないにしても、骨の折れる作業と見なされる作業に少し楽しみを注入することは、否定的な考え方を変え、継続的な参加を促すのに大いに役立ちます。結局のところ、(健全な) 競争の激しい環境で、同業他社よりも多くのポイントを獲得できるという栄光を好まない人はいないでしょう。
チャンピオンは君たちの中を歩く
ゲーム化されたトレーニングとそれに続くトーナメントは、ポジティブなセキュリティ文化を推進する上で非常に役立ちます。アプリケーションセキュリティチームと開発チームは、互いの日常業務についてより多くの洞察を得ることができます。安全な開発者は資産であり、一般的な脆弱性を修正し、複雑な問題は現場にほとんどいないアプリケーション・セキュリティ・スペシャリストに任せています。より良い関係は成長し繁栄します。また、同じエラーが繰り返し発生する「グラウンドホッグデー」シナリオの修正に貴重なセキュリティ予算が無駄になることはありません。
ただし、もう 1 つの強力な副産物があります。それは、今まで知らなかったセキュリティチャンピオンの存在が明らかになったことです。トーナメントでは、セキュリティに対する適性だけでなく、積極的にセキュリティに対する情熱を示している人を発見することができます。これらのチャンピオンは、勢いを維持し、チーム間の連絡窓口としての役割を果たし、仲間を監督し、ベストプラクティスの方針を守るうえで不可欠です。表彰と経営陣のサポートを含む強固なチャンピオン・プログラムを実施することは、組織全体への働きかけであると同時に、個人の履歴書や将来のキャリアを強力に組み込むことにもなります。
肝心なのは?セキュリティテストでは、より良い結果を求める必要があります。よくあるエラーを減らし、最前線にいる人々へのサポートを増やしましょう。デベロッパートーナメントによって、思ったより早くその目標に到達できる方法を見てみませんか?
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
