繰り返し使える安全なコーディングスキルで左にシフトし、コンプライアンスを達成
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Cet article a été rédigé par l'équipe d'experts industriels de Secure Code Warrior. Il vise à aider les développeurs à acquérir les connaissances et les compétences nécessaires pour créer des logiciels sécurisés dès le départ. Il s'appuie sur une expertise approfondie en matière de pratiques de codage sécurisé, sur les tendances du secteur et sur des observations tirées du monde réel.
最近のほとんどすべての開発者チームは、企業が業界の枠組みや政府規制の範囲内にとどまっていることを確認するために使用される最初の認定プロセスの一部であるか、年次要件またはレビューの一部であるかにかかわらず、何らかの形のコンプライアンストレーニングを採用しています。これは重要なステップです。なぜなら、組織が基本的なコンプライアンス要件を満たせなければ、その従業員は現実的に職務を遂行できないからです。
コンプライアンスルールが存在するのには理由があります。なぜなら、そのルールが対象とする分野で働く人は誰でも、関連するすべてのプロセスと手順、および適用法について少なくとも基本的な理解を持っている必要があるからです。
コンプライアンストレーニングは重要ですが、義務付けられた最低要件を満たすだけでは、真のアプリケーションセキュリティは保証されません。これは、安全なコーディングスキルを日常のワークフローに取り入れようとしている開発者に特に当てはまります。ほぼすべての開発者が何らかのコンプライアンス研修を受けていますが、調査の結果、 67% が、コードに脆弱性を残すことが多いと回答しました。
なぜ?
セキュア・コード・ウォリアーは、2021年12月にエバンス・データ・コーポレーションと共同で「開発者主導のセキュリティ状況調査、2022年」を2年目に実施しました。世界中の1,200人の開発者を対象に、安全なコーディング手法に関するスキル、認識、行動、およびそれらがソフトウェア開発ライフサイクル(SDLC)に与える影響と関連性を理解しました。
コンプライアンストレーニングがソフトウェアセキュリティの向上につながらない理由という点では、これは私たちが長い間話し合ってきた問題です。最近の調査では、この問題が浮き彫りになっただけです。
一方で、開発者は、アプリケーションやプログラムのコードを最初に作成するときを含め、ソフトウェア開発プロセス全体にサイバーセキュリティを含めることで、新しい役割へのステップアップを求められています。しかし、安全なコードを書いたり、サイバーセキュリティの問題やそれに影響する可能性のある脆弱性についてすべて学ぶだけでも簡単なことではありません。調査では、開発者の 63% が、安全なコードを書くのは難しい作業だと答えています。
安全なコードを書くことの難しさは驚くべきことではありません。これだけ多くの高給のサイバーセキュリティ関連の仕事が満たされないのには理由があります。最後に数えたところでは、世界中で350万件を超える求人が出ています。それが簡単な仕事だったら、誰もがその分野に飛び込むでしょう。脅威と戦い、コード内の脆弱性を排除する方法を学ぶことは難しく、脅威の状況は絶えず変化しています。固定的なコンプライアンストレーニングや 1 回限りのクラスでは、開発者が必要とする教育についていけず、提供することもできません。コンプライアンスの観点からはチェックボックスになるかもしれませんが、組織に真のアプリケーションセキュリティ保証を提供したり、開発者が安全なコードを書いたり、コードの脆弱性を発見して修正するスキルを身に付けることはできません。
コンプライアンスとセキュリティのトレーニングは重要ですが、異なります
組織は、コンプライアンストレーニングで何ができるのか、何ができないのかを認識し、認識し始める必要があります。特に法律で義務付けられている場合は、コンプライアンストレーニングを放棄しないでください。特に、アンケート回答者の 92% が、コンプライアンス関連の問題やセキュリティフレームワークについて少なくともある程度のトレーニングが必要だと答え、50% が重要なコンプライアンス研修の必要性を強調しているためです。
彼らがトレーニングに最も関心を持っていたコンプライアンスフレームワークには、さまざまな業界固有のものが含まれていましたが、いくつかの一般的なサイバーセキュリティフレームワークもリストに含まれていました。その中には、CISセキュリティフレームワーク、PCI DSS、OWASPトップ10、MISRA C、ISO/IEC、医療保険の相互運用性と説明責任に関する法律(HIPAA)などが含まれていました。
もちろん、これらのフレームワークでトレーニングを行うことはできますが、コンプライアンストレーニングのチェックボックスにチェックを入れるだけでは、安全なコードを継続的に作成するための基盤を提供することにはならないことを理解してください。
その代わり、コンプライアンス・トレーニングは、開発者のセキュア・コーディング・スキルを伸ばす継続的な機会の一部と考えてください。コンプライアンス・サイクル以外でも繰り返すことで、開発者は安全なソフトウェアを毎日作成してリリースできるようになります。優先事項をコンプライアンスの達成から、開発チームが継続的に学習して安全にコーディングできるようにすることに移しましょう。開発者の支援に時間とリソースを投資することで、毎年実施されるチェックボックスのコンプライアンス演習や試験は、全体的な生産性の向上というメリットを得ながら、スタッフが簡単に合格して完了できるようになります。
どうすれば開発者主導のセキュリティに移行できるか?
圧倒的多数の開発者は、トレーニングは価値があると言いましたが、長年にわたって受けてきたセキュアコーディングに関するトレーニングの種類には異議を唱えました。開発者は、自分の仕事に関連する実際の例を使った実践的なトレーニングにもっと重点を置きたいと回答しました (30%)。また、回答者の 26% は、特にそれらの演習の一環として実際に安全なコードを書く練習ができた場合には、対話性を高めることが重要だと回答しました。
調査対象の開発者の 23% は、自分の業界やセクターで遭遇する可能性が最も高い特定の脆弱性に焦点を当てたガイド付きトレーニングをもっと受けたいと回答し、22% はトレーニングコースで実際の脆弱性の例をもっと見たいと考えていました。
静的で非インタラクティブなトレーニング(通常はコンプライアンストレーニングの経験)を提供するだけでは、開発者のセキュリティスキルを再現できるという点ではほとんど価値がないことは明らかです。代わりに、組織は、開発者が作業しながらセキュリティについて教えられる、ジャストインタイムトレーニングのようなものに重点を置くべきです。段階的な学習プログラムの導入を検討するのもいいかもしれません。
段階的なアプローチでは、通常、大きなトピックは個別の学習経験や概念に分解されます。開発者が進歩するにつれて、建物の高さが高くなるにつれて物理的な足場が構築されるように、すでに習得した概念の上に、より高度な概念が重ねられます。これにより、サイバーセキュリティのような困難で絶えず進化するトピックを教えるための実証済みの方法が生まれます。そのためには、まずそれをより小さく、それほど複雑ではない部分に分解し、その基盤の上にさらに複雑なものを構築します。
開発者のセキュリティスキルプログラムに取り組むことにしたとしても、それをコンプライアンス演習とは別にしておくことが重要になります。コンプライアンスとセキュリティトレーニングはどちらも重要であり、成功を収めるにはどちらも異なるアプローチが必要です。
さらに読むには
ホワイトペーパー:ソフトウェア・セキュリティを向上させるための課題 (および機会)
ホワイトペーパー: ソフトウェアセキュリティに対する開発者による予防的アプローチ。
レポート:開発者主導のセキュリティの現状。
Table des matières
Secure Code Warrior transforme le codage sécurisé en une expérience positive et stimulante à mesure que les développeurs améliorent leurs compétences. Il guide chaque codeur vers le parcours d'apprentissage qu'il souhaite suivre afin que les développeurs possédant des compétences en sécurité puissent devenir des super-héros au quotidien dans un monde connecté.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
