退屈なPCI-DSSコンプライアンスを誰にとっても有意義な取り組みに変える:パート1-AppSec
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société, Sensei Security. Tout au long de sa carrière, Matias a dirigé plusieurs projets de recherche sur la sécurité des applications, qui ont abouti à la création de produits commerciaux et à l'obtention de plus de 10 brevets.Lorsqu'il n'est pas à son bureau, Matias enseigne dans le cadre de formations avancées sur la sécurité des applications et intervient régulièrement lors de conférences internationales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matthias a obtenu un doctorat en génie informatique à l'université de Gand, où il a étudié la sécurité des applications grâce à l'obfuscation des programmes visant à masquer le fonctionnement interne des applications.
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Matias est un chercheur et développeur qui possède plus de 15 ans d'expérience pratique dans le domaine de la sécurité logicielle. Il a développé des solutions pour des entreprises telles que Fortify Software et sa propre société, Sensei Security. Tout au long de sa carrière, Matias a dirigé plusieurs projets de recherche sur la sécurité des applications, qui ont abouti à la création de produits commerciaux et à l'obtention de plus de 10 brevets.Lorsqu'il n'est pas à son bureau, Matias enseigne dans le cadre de formations avancées sur la sécurité des applications et intervient régulièrement lors de conférences internationales telles que RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec et BruCon.
Matthias a obtenu un doctorat en génie informatique à l'université de Gand, où il a étudié la sécurité des applications grâce à l'obfuscation des programmes visant à masquer le fonctionnement interne des applications.
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
Table des matières
Le Dr Matias Madou est expert en sécurité, chercheur, directeur technique et cofondateur de Secure Code Warrior. Matias a obtenu un doctorat en sécurité des applications, axé sur les solutions d'analyse statique, à l'université de Gand.Il a ensuite rejoint Fortify aux États-Unis, où il a réalisé qu'il ne suffisait pas de détecter les problèmes de code sans aider les développeurs à écrire du code sécurisé. Cela l'a amené à développer des produits qui aident les développeurs, allègent la charge de la sécurité et dépassent les attentes des clients. Lorsqu'il n'est pas à son bureau en tant que membre de Team Awesome, il apprécie de faire des présentations sur scène lors de conférences telles que RSA, BlackHat et DefCon.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
