退屈なPCI-DSSコンプライアンスを誰にとっても有意義な取り組みに変える:パート1-AppSec
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und mehr als 10 Patente angemeldet.Wenn er nicht an seinem Schreibtisch sitzt, unterrichtet Matias Fortgeschrittenenkurse zum Thema Anwendungssicherheit und hält regelmäßig Vorträge auf globalen Konferenzen wie der RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matthias promovierte an der Universität Gent in Informatik und lernte dort Anwendungssicherheit durch Programmverschleierung, um die interne Funktionsweise von Anwendungen zu verbergen.
これは、組織内でのPCI-DSSコンプライアンスの成功に関する2部構成のシリーズの第1部です。この章では、AppSecスペシャリストが開発マネージャーと緊密に連携して開発者を支援し、SSDLCを強化し、一般法制から具体的な成果を得る方法を詳しく説明します。
「コンプライアンス」という言葉はあまり面白くありません。フォーマルで、ドライで、指示的で、口調が少し制限的ですらあります。色があるとしたら、ベージュでしょう。そして、まあ、どんなクリエイティブな環境やイノベーションとも相容れないように思えます。
私自身開発者として、私の「コンプライアンス」の経験は、通常、いくつかのガイドラインを(垂直方向に)読んだり、プレゼンテーションを見たりしてから、機能のコーディングに戻り、顧客が使用して気に入るソフトウェアの作成に集中することでした。誰もがその瞬間にできることを保持している(そして常に正しいことをしようとしている)が、コンプライアンスガイドライン、特にセキュリティのベストプラクティスに関するガイドラインは、通常、開発者を対象読者として書かれていないため、必要なアクションが不明瞭な場合があります。そのようなシナリオでは、現在の目標に向かってただ仕事を続けるのは簡単すぎます。
重要なのは、安全なソフトウェア開発は、もはやどの企業にとっても「あれば良い」ものではなく、すべての組織で最優先事項となっている(またはそうあるべき)ということです。また、機密性の高い顧客情報を大量に保持している場合、サイバー攻撃に関しては、その企業が最適な時期です。開発者は最初にコードを実際に使います。そのため、セキュリティコンプライアンス対策にはチームの他のメンバーと同じように関与する必要があります。
しかし、待って... 私の話を聞いてください。だからといって、誰もが厳格で創造性のない開発やソフトウェアの成果の奴隷にならなければならないというわけではありません。つまり、企業にはより高水準のコードを共同で作成する機会と力があるということです。これまでのところ、開発者がセキュリティを優先するための適切なツールを自由に使えるようになっていないという事実に、世界は徐々に追いつきつつあります (そして、サイロ化されたセキュリティの専門家だけでは責任を担うことはできません)。しかし、業界がセキュリティを共通の責任とするDevSecOpsの未来に向かって進むにつれ、成功に向けて準備を整えれば、繰り返し発生する脆弱性の流れを食い止めるのに役立ちます。
PCI-DSSガイドラインは、カード決済ゲートウェイのオンラインセキュリティコンプライアンスを対象としています。これは、ほとんどの人が日常的に使用しているサービスです。これらのガイドラインは世界中で適用されており、実際にも適用されています。 自分の義務に沿った標準を維持するために開発者がすべきことを詳細に概説した、一緒に 複数のコンプライアンス文書 eコマースビジネスのさまざまな側面。
データ漏えいは、企業が許容できない恐ろしい評判を損なうリスクであり、サイバー・セキュリティ・ベンチャーズがゼロデイ漏えい対策を講じています。 2021 年は 1 日に 1 回です、これはソフトウェア配信プロセスのすべての人が対処できることです。
PCI-DSSの推奨事項と、それらがチーム全体でどのように機能するかを詳しく見ていきましょう。
ねえ、アプリケーションセキュリティチームとコンプライアンスチームの皆さん:すべての開発者向けトレーニングが同じように作られているわけではありません
大規模組織 (または小規模組織) の開発者が、実務で受けるトレーニングに多くの意見を述べることはめったにありません。優秀な従業員を維持するために、包括的なプログラムを提供している企業もありますが、これらはまだ本来あるべきほど一般的ではありません。セキュリティトレーニングの必要性は、全員を退屈させずに組織のコンプライアンスを開始するだけでなく、開発チームとの冷淡な関係を温め始める絶好の機会となります。
PCIコンプライアンスに関しては、ペイメントゲートウェイを実行するすべてのソフトウェアに期待される結果についてガイドラインが具体的に示されていることがわかります。他の目標の中でも、アプリケーションの強化(悪意のある攻撃を阻止するために不可欠)を求めています。 コード・インジェクション または改ざん)、最小限の権限管理、一般的な脆弱性の本格的な認識... 最低限。カード会員データを扱うすべての担当者は、適切なトレーニングを受ける必要があります。開発者にとって、そのトレーニングは、プロセスの最初から安全なコードを書く際の成功を左右します。
ザ・オフィシャル PCI-DSS コンプライアンスを維持するためのベストプラクティス この文書には、次のようなセキュリティ認識、開発者のニーズ、適切なトレーニングに関する直接的な概念がいくつか詳述されています。
著作権 © 2006-2020 PCI セキュリティ標準審議会、合同会社。無断転載を禁じます。
これにより、開発者に必要なスキルを身に付けるために必要な、具体的で詳細なトレーニングについての洞察が得られますが、特定のタイプの教育ソリューションが他の教育ソリューションよりも効果的であるとは限りません。開発者向けPCI-DSSガイドはもう少し直接的で、OWASP Top 10は、最も一般的な脆弱性の発見と修正を学ぶためのベンチマークの1つとして、また一部の認定プログラムも挙げています。
しかし... ここに問題があります。さまざまな職場研修やコンプライアンスの取り組みからわかるように、その質や将来の成功は大きく異なる可能性があります。開発者に関して言えば、多くのセキュア・コーディング・トレーニング・プログラムは、私たちのニーズ、働き方、さらには日々の仕事にさえも意味のある能力で応えていないようです。 このシナリオでは、すべてのトレーニングが同じように作成されているわけではなく、すべてのトレーニングによってより安全なソフトウェアが得られるわけでもありません。。もちろん、これはあなたが望む結果とは正反対であり、自分の仕事のストレスを大幅に軽減することにはなりません。負担を軽減し、一般的な脆弱性が潜在的な災害を引き起こすのを防ぎたいのであれば、橋を架ける必要があります。
エンジニアリングマネージャーを味方につけてセキュリティスキルのギャップを埋める
エンジニアリングマネージャーと直接連携して、目的に合ったソリューションを見つけながら、実際に行わなければならない人に受け入れてもらうことは、セキュリティ上の成果を得るための近道です。彼らは自分のチームについてより即座に洞察を得ることができ、以前にコンプライアンストレーニングを困難にしていた障害者に話しかけることができます(ほとんどの場合、それが素晴らしい経験ではなかったことは別として)。
クラスルームベースのトレーニング、ビデオ・オン・デマンド、および一度限りのチェックボックスにチェックを入れるエクササイズでは、常に最新の状態を維持することが非常に困難です。これらは静的なソリューションであり、サイバーセキュリティ業界という絶え間なく変化する状況に追いつくことができません。最終的に、エンジニアリングマネージャーは時間的制約に見合う価値を見出したいと思うでしょう。そして、彼らと協力して、全員の共通の目標、つまりより安全で規制に準拠したコードを実現するために役立つ実行可能なオプションを提供することが重要です。
では、良いトレーニングとはどのようなものなのでしょうか?一度限りの大量の情報を利用して安全にコーディングする方法を学ぶ意味はほとんどありません。 一口サイズで段階的な学習プロセス 覚えやすく、文脈に合わせて適用するのがはるかに簡単になり、日常的に使用される言語とフレームワークで絶対に使用する必要があります。個人的には、挑戦したいと思っているし、自分の努力に目的を見出したいと思っています。私たちは皆、今のままでも十分忙しいですよね?
上で概説したPCI-DSSのベスト・プラクティスを遵守するために、選択したソリューションによっては、マネージャは、ビジネス全体で使用されるすべての言語とフレームワークを網羅するさまざまなコースをつなぎ合わせる必要があることに気付くかもしれません。その場合、事態は非常に厄介になり、アプリケーションセキュリティとコンプライアンス・チームがソフトウェアのセキュリティと脆弱性の軽減に影響を与えているかどうかを評価することは言うまでもなく、非常に厄介になります。迅速な結果を求めて間違ったオプションに突入するのではなく、協力して適切な方法を見つけてください。さもないと、フランケンシュタインのトレーニングソリューションになってしまうかもしれません... そしてそれはとても怖いことです。
このPCI-DSSミニシリーズのパート1をチェックしていただきありがとうございます。最終章では、CISOとCTOがこのカルチャー変革をどのように支援し、チームを支援できるか、そしてセキュリティ最前線の「開発者グループ」がPCI-DSSの認識とコンプライアンスをどのように活用できるかについて説明します。
目次
Dr. Matias Madu ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit mit Schwerpunkt auf statischen Analyselösungen.Anschließend trat er in die Dienste von Fortify in den USA ein und erkannte, dass es nicht ausreicht, nur Code-Probleme zu erkennen, ohne Entwicklern dabei zu helfen, sicheren Code zu schreiben. Dies war der Auslöser dafür, dass er begann, Entwickler zu unterstützen, die Sicherheitslast zu verringern und Produkte zu entwickeln, die die Erwartungen der Kunden übertreffen. Wenn er nicht als Mitglied von Team Awesome an seinem Schreibtisch sitzt, hält er gerne Präsentationen auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
