組織のセキュリティ成熟度を過大評価していませんか?
この記事のバージョンが掲載されました ダークリーディング。ここで更新され、シンジケートされました。
ほとんどの企業が成長、イノベーション、デジタルトランスフォーメーションの流れに乗っているため、企業の規模が拡大しても一部の分野が未解決のままになるのは当然のことです。これは、組織のサイバーセキュリティプログラムではよくあることです。特に、セキュリティリーダーは、リスクにさらされるリスクを増大させる新たな脅威、脆弱性、技術開発の一歩先を行こうと奮闘している場合はなおさらです。
ただし、 持続的なスキル不足 世界のソフトウェアニーズを満たすために大量のコードが書かれているのに反して、多くの企業がサイバーセキュリティ戦略と既存のインフラストラクチャに遅れをとっています。また、業界はツールベースのアプローチに固執しているように見えるため、機能する防御プログラムでは、熟練した人材の力が見過ごされがちです。
今こそ、サイバーセキュリティ全体の成熟度を正直に見て、目の前にある実行可能なクイックウィンを評価する時です。
サイバーセキュリティを持続的に成熟させることはプロセスです。
一般大衆は、どの企業にも強固なサイバーセキュリティプログラムがあると考えがちです。保護とは、適切なソフトウェアを選択し、それをフォースシールドのように起動して、脅威アクターの足跡を食い止めることです。2022年は、その1つです。 サイバーインシデントの記録上最悪の年 -含む コスタリカ政府全体が身代金目的で拘束されている -多くのセキュリティ専門家は、それがそんなに簡単だったらいいのにと願っていました。
多くの業界、特に金融セクターは、コンプライアンスを重視し、厳格なセキュリティ対策を要求するますます複雑化する規制の枠組みに縛られていますが、現実には、ほとんどの組織がサイバーレジリエンスに欠けています。 半分以上 世界中の大企業のうち、サイバー攻撃を効果的に阻止できておらず、悪用された脆弱性を迅速に発見して修正できていない企業もいます。
人、プロセス、テクノロジーに対する三重の脅威というベストプラクティスを網羅した、明確で成熟したプログラムを備えていると考えられる組織でさえ、脅威環境におけるペースの速い要求に遅れずについていくのに苦労することがあります。多くの企業が足りない重要な分野の 1 つは、特に開発チームにとって、役割ベースのセキュリティ意識です。組織内の誰もが攻撃対象領域を減らすために自分が果たす役割を理解する必要がありますが、日々コードを議論している人は、適切なスキルアップさえあれば、セキュリティに対する真の変革的アプローチの主導権を握ることができます。
総合的で防御的なセキュリティプログラムとは、継続的な改善を必要とするプログラムであり、強固な基盤を築くには細心の注意が必要です。これらの基盤が主にツールベースの場合、セキュリティリーダーが頼りにしているレベルよりも成熟度が低い可能性があります。ポネモン・インスティテュートの調査では、次のことが明らかになりました。 53% の企業が、自社のセキュリティ技術スタックが侵害を効果的に阻止できるとは確信していませんでした、と ヒューマンエラーが主な原因 大小さまざまな企業に対するサイバー攻撃が成功し、開発者が戦略的なセキュリティ強化の対象から外れることは火の種です。
開発者をソフトウェア・セキュリティ・エクセレンスの原動力にする
サイバー攻撃を取り巻く不愉快な事実は、ほとんどの場合、攻撃者がセキュリティ成熟の道のりのどの段階にあっても、攻撃者はターゲット企業よりも明らかに有利であるということです。攻撃者には、悪用できる弱点を綿密にスキャンする時間、ツール、動機があり、突破口を開いて利益を得ることに専念しています。
一方、組織はビジネスと顧客のニーズを両立させており、目を見張るようなサイバー攻撃による計り知れないリスクを冒すわけにはいきませんが、パフォーマンスを阻害する可能性のある豊富なセキュリティ制御に対応するために、事業運営を遅らせることは現実的ではありません。セキュリティスキルのある開発者がサイバー防御の成果の X ファクターとなるのは、この点です。
従来、開発者がセキュリティの責任を有意義な方法で分担することができなかったことは古くから知られていますが、これはより良い方向に変える可能性があり、またそうしなければなりません。組織は開発チームのために実行可能なスキルアップの道を切り開くことができますが、それぞれの世界で意味のある方法で関連する教材を提供する教育オプションを選択する必要があります。少なくとも、積極的に使用している言語とフレームワークでそれを伝え、コードベースで遭遇する可能性が最も高い脆弱性に対処する必要があります。
コースが開発者のワークフローを念頭に置いて構成されている場合、一般的な脆弱性や構成ミスを永続させる貧弱なコーディングパターンが、時間の経過とともにソフトウェアの品質を大幅に向上させる適切で安全なパターンに置き換えられる可能性がはるかに高くなります。低品質のソフトウェアは米国に負担をかけます。 今年だけで2.41兆ドルそして、これはリスクの高い技術的負債を支えるエラーのサイクルを断ち切ることによってのみ改善できます。
そのためには、組織全体が、より積極的で包括的なセキュリティプログラムに取り組む必要があります。それは、人々が主導する問題に変化をもたらすために必要な人材の力を活用するプログラムです。そして、明日のニュースの見出しから離れることが不可欠であるなら、努力する価値があることは間違いありません。
世界中のソフトウェアニーズを満たすために大量のコードが開発されていることと相容れないスキル不足が続いているため、多くの企業がサイバーセキュリティ戦略と既存のインフラストラクチャに遅れをとっています。今こそ、サイバーセキュリティ全体の成熟度を正直に見て、目の前にある実行可能な手っ取り早い成果を評価する時です。
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
この記事のバージョンが掲載されました ダークリーディング。ここで更新され、シンジケートされました。
ほとんどの企業が成長、イノベーション、デジタルトランスフォーメーションの流れに乗っているため、企業の規模が拡大しても一部の分野が未解決のままになるのは当然のことです。これは、組織のサイバーセキュリティプログラムではよくあることです。特に、セキュリティリーダーは、リスクにさらされるリスクを増大させる新たな脅威、脆弱性、技術開発の一歩先を行こうと奮闘している場合はなおさらです。
ただし、 持続的なスキル不足 世界のソフトウェアニーズを満たすために大量のコードが書かれているのに反して、多くの企業がサイバーセキュリティ戦略と既存のインフラストラクチャに遅れをとっています。また、業界はツールベースのアプローチに固執しているように見えるため、機能する防御プログラムでは、熟練した人材の力が見過ごされがちです。
今こそ、サイバーセキュリティ全体の成熟度を正直に見て、目の前にある実行可能なクイックウィンを評価する時です。
サイバーセキュリティを持続的に成熟させることはプロセスです。
一般大衆は、どの企業にも強固なサイバーセキュリティプログラムがあると考えがちです。保護とは、適切なソフトウェアを選択し、それをフォースシールドのように起動して、脅威アクターの足跡を食い止めることです。2022年は、その1つです。 サイバーインシデントの記録上最悪の年 -含む コスタリカ政府全体が身代金目的で拘束されている -多くのセキュリティ専門家は、それがそんなに簡単だったらいいのにと願っていました。
多くの業界、特に金融セクターは、コンプライアンスを重視し、厳格なセキュリティ対策を要求するますます複雑化する規制の枠組みに縛られていますが、現実には、ほとんどの組織がサイバーレジリエンスに欠けています。 半分以上 世界中の大企業のうち、サイバー攻撃を効果的に阻止できておらず、悪用された脆弱性を迅速に発見して修正できていない企業もいます。
人、プロセス、テクノロジーに対する三重の脅威というベストプラクティスを網羅した、明確で成熟したプログラムを備えていると考えられる組織でさえ、脅威環境におけるペースの速い要求に遅れずについていくのに苦労することがあります。多くの企業が足りない重要な分野の 1 つは、特に開発チームにとって、役割ベースのセキュリティ意識です。組織内の誰もが攻撃対象領域を減らすために自分が果たす役割を理解する必要がありますが、日々コードを議論している人は、適切なスキルアップさえあれば、セキュリティに対する真の変革的アプローチの主導権を握ることができます。
総合的で防御的なセキュリティプログラムとは、継続的な改善を必要とするプログラムであり、強固な基盤を築くには細心の注意が必要です。これらの基盤が主にツールベースの場合、セキュリティリーダーが頼りにしているレベルよりも成熟度が低い可能性があります。ポネモン・インスティテュートの調査では、次のことが明らかになりました。 53% の企業が、自社のセキュリティ技術スタックが侵害を効果的に阻止できるとは確信していませんでした、と ヒューマンエラーが主な原因 大小さまざまな企業に対するサイバー攻撃が成功し、開発者が戦略的なセキュリティ強化の対象から外れることは火の種です。
開発者をソフトウェア・セキュリティ・エクセレンスの原動力にする
サイバー攻撃を取り巻く不愉快な事実は、ほとんどの場合、攻撃者がセキュリティ成熟の道のりのどの段階にあっても、攻撃者はターゲット企業よりも明らかに有利であるということです。攻撃者には、悪用できる弱点を綿密にスキャンする時間、ツール、動機があり、突破口を開いて利益を得ることに専念しています。
一方、組織はビジネスと顧客のニーズを両立させており、目を見張るようなサイバー攻撃による計り知れないリスクを冒すわけにはいきませんが、パフォーマンスを阻害する可能性のある豊富なセキュリティ制御に対応するために、事業運営を遅らせることは現実的ではありません。セキュリティスキルのある開発者がサイバー防御の成果の X ファクターとなるのは、この点です。
従来、開発者がセキュリティの責任を有意義な方法で分担することができなかったことは古くから知られていますが、これはより良い方向に変える可能性があり、またそうしなければなりません。組織は開発チームのために実行可能なスキルアップの道を切り開くことができますが、それぞれの世界で意味のある方法で関連する教材を提供する教育オプションを選択する必要があります。少なくとも、積極的に使用している言語とフレームワークでそれを伝え、コードベースで遭遇する可能性が最も高い脆弱性に対処する必要があります。
コースが開発者のワークフローを念頭に置いて構成されている場合、一般的な脆弱性や構成ミスを永続させる貧弱なコーディングパターンが、時間の経過とともにソフトウェアの品質を大幅に向上させる適切で安全なパターンに置き換えられる可能性がはるかに高くなります。低品質のソフトウェアは米国に負担をかけます。 今年だけで2.41兆ドルそして、これはリスクの高い技術的負債を支えるエラーのサイクルを断ち切ることによってのみ改善できます。
そのためには、組織全体が、より積極的で包括的なセキュリティプログラムに取り組む必要があります。それは、人々が主導する問題に変化をもたらすために必要な人材の力を活用するプログラムです。そして、明日のニュースの見出しから離れることが不可欠であるなら、努力する価値があることは間違いありません。
この記事のバージョンが掲載されました ダークリーディング。ここで更新され、シンジケートされました。
ほとんどの企業が成長、イノベーション、デジタルトランスフォーメーションの流れに乗っているため、企業の規模が拡大しても一部の分野が未解決のままになるのは当然のことです。これは、組織のサイバーセキュリティプログラムではよくあることです。特に、セキュリティリーダーは、リスクにさらされるリスクを増大させる新たな脅威、脆弱性、技術開発の一歩先を行こうと奮闘している場合はなおさらです。
ただし、 持続的なスキル不足 世界のソフトウェアニーズを満たすために大量のコードが書かれているのに反して、多くの企業がサイバーセキュリティ戦略と既存のインフラストラクチャに遅れをとっています。また、業界はツールベースのアプローチに固執しているように見えるため、機能する防御プログラムでは、熟練した人材の力が見過ごされがちです。
今こそ、サイバーセキュリティ全体の成熟度を正直に見て、目の前にある実行可能なクイックウィンを評価する時です。
サイバーセキュリティを持続的に成熟させることはプロセスです。
一般大衆は、どの企業にも強固なサイバーセキュリティプログラムがあると考えがちです。保護とは、適切なソフトウェアを選択し、それをフォースシールドのように起動して、脅威アクターの足跡を食い止めることです。2022年は、その1つです。 サイバーインシデントの記録上最悪の年 -含む コスタリカ政府全体が身代金目的で拘束されている -多くのセキュリティ専門家は、それがそんなに簡単だったらいいのにと願っていました。
多くの業界、特に金融セクターは、コンプライアンスを重視し、厳格なセキュリティ対策を要求するますます複雑化する規制の枠組みに縛られていますが、現実には、ほとんどの組織がサイバーレジリエンスに欠けています。 半分以上 世界中の大企業のうち、サイバー攻撃を効果的に阻止できておらず、悪用された脆弱性を迅速に発見して修正できていない企業もいます。
人、プロセス、テクノロジーに対する三重の脅威というベストプラクティスを網羅した、明確で成熟したプログラムを備えていると考えられる組織でさえ、脅威環境におけるペースの速い要求に遅れずについていくのに苦労することがあります。多くの企業が足りない重要な分野の 1 つは、特に開発チームにとって、役割ベースのセキュリティ意識です。組織内の誰もが攻撃対象領域を減らすために自分が果たす役割を理解する必要がありますが、日々コードを議論している人は、適切なスキルアップさえあれば、セキュリティに対する真の変革的アプローチの主導権を握ることができます。
総合的で防御的なセキュリティプログラムとは、継続的な改善を必要とするプログラムであり、強固な基盤を築くには細心の注意が必要です。これらの基盤が主にツールベースの場合、セキュリティリーダーが頼りにしているレベルよりも成熟度が低い可能性があります。ポネモン・インスティテュートの調査では、次のことが明らかになりました。 53% の企業が、自社のセキュリティ技術スタックが侵害を効果的に阻止できるとは確信していませんでした、と ヒューマンエラーが主な原因 大小さまざまな企業に対するサイバー攻撃が成功し、開発者が戦略的なセキュリティ強化の対象から外れることは火の種です。
開発者をソフトウェア・セキュリティ・エクセレンスの原動力にする
サイバー攻撃を取り巻く不愉快な事実は、ほとんどの場合、攻撃者がセキュリティ成熟の道のりのどの段階にあっても、攻撃者はターゲット企業よりも明らかに有利であるということです。攻撃者には、悪用できる弱点を綿密にスキャンする時間、ツール、動機があり、突破口を開いて利益を得ることに専念しています。
一方、組織はビジネスと顧客のニーズを両立させており、目を見張るようなサイバー攻撃による計り知れないリスクを冒すわけにはいきませんが、パフォーマンスを阻害する可能性のある豊富なセキュリティ制御に対応するために、事業運営を遅らせることは現実的ではありません。セキュリティスキルのある開発者がサイバー防御の成果の X ファクターとなるのは、この点です。
従来、開発者がセキュリティの責任を有意義な方法で分担することができなかったことは古くから知られていますが、これはより良い方向に変える可能性があり、またそうしなければなりません。組織は開発チームのために実行可能なスキルアップの道を切り開くことができますが、それぞれの世界で意味のある方法で関連する教材を提供する教育オプションを選択する必要があります。少なくとも、積極的に使用している言語とフレームワークでそれを伝え、コードベースで遭遇する可能性が最も高い脆弱性に対処する必要があります。
コースが開発者のワークフローを念頭に置いて構成されている場合、一般的な脆弱性や構成ミスを永続させる貧弱なコーディングパターンが、時間の経過とともにソフトウェアの品質を大幅に向上させる適切で安全なパターンに置き換えられる可能性がはるかに高くなります。低品質のソフトウェアは米国に負担をかけます。 今年だけで2.41兆ドルそして、これはリスクの高い技術的負債を支えるエラーのサイクルを断ち切ることによってのみ改善できます。
そのためには、組織全体が、より積極的で包括的なセキュリティプログラムに取り組む必要があります。それは、人々が主導する問題に変化をもたらすために必要な人材の力を活用するプログラムです。そして、明日のニュースの見出しから離れることが不可欠であるなら、努力する価値があることは間違いありません。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
この記事のバージョンが掲載されました ダークリーディング。ここで更新され、シンジケートされました。
ほとんどの企業が成長、イノベーション、デジタルトランスフォーメーションの流れに乗っているため、企業の規模が拡大しても一部の分野が未解決のままになるのは当然のことです。これは、組織のサイバーセキュリティプログラムではよくあることです。特に、セキュリティリーダーは、リスクにさらされるリスクを増大させる新たな脅威、脆弱性、技術開発の一歩先を行こうと奮闘している場合はなおさらです。
ただし、 持続的なスキル不足 世界のソフトウェアニーズを満たすために大量のコードが書かれているのに反して、多くの企業がサイバーセキュリティ戦略と既存のインフラストラクチャに遅れをとっています。また、業界はツールベースのアプローチに固執しているように見えるため、機能する防御プログラムでは、熟練した人材の力が見過ごされがちです。
今こそ、サイバーセキュリティ全体の成熟度を正直に見て、目の前にある実行可能なクイックウィンを評価する時です。
サイバーセキュリティを持続的に成熟させることはプロセスです。
一般大衆は、どの企業にも強固なサイバーセキュリティプログラムがあると考えがちです。保護とは、適切なソフトウェアを選択し、それをフォースシールドのように起動して、脅威アクターの足跡を食い止めることです。2022年は、その1つです。 サイバーインシデントの記録上最悪の年 -含む コスタリカ政府全体が身代金目的で拘束されている -多くのセキュリティ専門家は、それがそんなに簡単だったらいいのにと願っていました。
多くの業界、特に金融セクターは、コンプライアンスを重視し、厳格なセキュリティ対策を要求するますます複雑化する規制の枠組みに縛られていますが、現実には、ほとんどの組織がサイバーレジリエンスに欠けています。 半分以上 世界中の大企業のうち、サイバー攻撃を効果的に阻止できておらず、悪用された脆弱性を迅速に発見して修正できていない企業もいます。
人、プロセス、テクノロジーに対する三重の脅威というベストプラクティスを網羅した、明確で成熟したプログラムを備えていると考えられる組織でさえ、脅威環境におけるペースの速い要求に遅れずについていくのに苦労することがあります。多くの企業が足りない重要な分野の 1 つは、特に開発チームにとって、役割ベースのセキュリティ意識です。組織内の誰もが攻撃対象領域を減らすために自分が果たす役割を理解する必要がありますが、日々コードを議論している人は、適切なスキルアップさえあれば、セキュリティに対する真の変革的アプローチの主導権を握ることができます。
総合的で防御的なセキュリティプログラムとは、継続的な改善を必要とするプログラムであり、強固な基盤を築くには細心の注意が必要です。これらの基盤が主にツールベースの場合、セキュリティリーダーが頼りにしているレベルよりも成熟度が低い可能性があります。ポネモン・インスティテュートの調査では、次のことが明らかになりました。 53% の企業が、自社のセキュリティ技術スタックが侵害を効果的に阻止できるとは確信していませんでした、と ヒューマンエラーが主な原因 大小さまざまな企業に対するサイバー攻撃が成功し、開発者が戦略的なセキュリティ強化の対象から外れることは火の種です。
開発者をソフトウェア・セキュリティ・エクセレンスの原動力にする
サイバー攻撃を取り巻く不愉快な事実は、ほとんどの場合、攻撃者がセキュリティ成熟の道のりのどの段階にあっても、攻撃者はターゲット企業よりも明らかに有利であるということです。攻撃者には、悪用できる弱点を綿密にスキャンする時間、ツール、動機があり、突破口を開いて利益を得ることに専念しています。
一方、組織はビジネスと顧客のニーズを両立させており、目を見張るようなサイバー攻撃による計り知れないリスクを冒すわけにはいきませんが、パフォーマンスを阻害する可能性のある豊富なセキュリティ制御に対応するために、事業運営を遅らせることは現実的ではありません。セキュリティスキルのある開発者がサイバー防御の成果の X ファクターとなるのは、この点です。
従来、開発者がセキュリティの責任を有意義な方法で分担することができなかったことは古くから知られていますが、これはより良い方向に変える可能性があり、またそうしなければなりません。組織は開発チームのために実行可能なスキルアップの道を切り開くことができますが、それぞれの世界で意味のある方法で関連する教材を提供する教育オプションを選択する必要があります。少なくとも、積極的に使用している言語とフレームワークでそれを伝え、コードベースで遭遇する可能性が最も高い脆弱性に対処する必要があります。
コースが開発者のワークフローを念頭に置いて構成されている場合、一般的な脆弱性や構成ミスを永続させる貧弱なコーディングパターンが、時間の経過とともにソフトウェアの品質を大幅に向上させる適切で安全なパターンに置き換えられる可能性がはるかに高くなります。低品質のソフトウェアは米国に負担をかけます。 今年だけで2.41兆ドルそして、これはリスクの高い技術的負債を支えるエラーのサイクルを断ち切ることによってのみ改善できます。
そのためには、組織全体が、より積極的で包括的なセキュリティプログラムに取り組む必要があります。それは、人々が主導する問題に変化をもたらすために必要な人材の力を活用するプログラムです。そして、明日のニュースの見出しから離れることが不可欠であるなら、努力する価値があることは間違いありません。
目次
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
