開発者にインセンティブを与えることは、より良いセキュリティ慣行の鍵です
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
プロの開発者はDevSecOpsを採用して安全なコードを書きたいと考えていますが、その取り組みを拡大したいのであれば、組織はこの大きな変化をサポートする必要があります。
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Directeur général, président et cofondateur
Pieter Danhieux est un expert en sécurité mondialement reconnu, avec plus de 12 ans d'expérience en tant que consultant en sécurité et 8 ans en tant qu'instructeur principal pour SANS, enseignant des techniques offensives sur la façon de cibler et d'évaluer les organisations, les systèmes et les individus pour les faiblesses de sécurité. En 2016, il a été reconnu comme l'une des personnes les plus cool d'Australie dans le domaine de la technologie (Business Insider), a reçu le prix du professionnel de la cybersécurité de l'année (AISA - Australian Information Security Association) et détient les certifications GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
Table des matières
Directeur général, président et cofondateur
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
