開発者にインセンティブを与えることは、より良いセキュリティ慣行の鍵です
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Vorstandsvorsitzender, Chairman und Mitbegründer
Pieter Danhieux ist ein weltweit anerkannter Sicherheitsexperte mit mehr als 12 Jahren Erfahrung als Sicherheitsberater und 8 Jahren als Principal Instructor für SANS, wo er offensive Techniken lehrt, wie man Organisationen, Systeme und Einzelpersonen auf Sicherheitsschwächen hin untersucht und bewertet. Im Jahr 2016 wurde er als einer der "Coolest Tech People in Australia" (Business Insider) ausgezeichnet, erhielt die Auszeichnung "Cyber Security Professional of the Year" (AISA - Australian Information Security Association) und besitzt die Zertifizierungen GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
サイバー脅威の状況は日を追うごとに複雑化しています。攻撃者は絶えずネットワークをスキャンして、脆弱なアプリケーション、プログラム、クラウドインスタンスを探しています。今月の最新トレンドは、セキュリティ制御が緩いことが多いため、簡単に勝てると考えられている API です。これらは非常に根強いため、新しいアプリがデプロイされてから数時間以内に侵害されたり悪用されたりすることがあります。Verizon 2021 年版データ漏えい調査レポートでは、脅威が企業や組織に向けられたことが非常に明確に示されています。 もっと危険です 歴史上のどの時点よりも今日です
開発中のソフトウェアを真に強化する唯一の方法は、安全なコードに基づいて構築されていることを確認することであることが明らかになりつつあります。言い換えると、脅威アクターの侵入を阻止する最善の方法は、そもそも攻撃者がアプリケーションに足を踏み入れないようにすることです。いったんその戦争を始めたら、ほとんどの利点は攻撃者に偏ってしまいます。
この状況が最初に引き起こしたのは アジャイル開発 そしてDevOps、そして後で全体に DevSecOps ムーブメントここで、セキュリティは、開発から展開までのソフトウェア作成プロセスに関わるすべての人が共有する責任です。しかし、そのピラミッドの基盤であり、間違いなく最も重要なのは開発者です。ほとんどの開発者は自分の役割を果たして安全なコードを書きたいと考えていますが、彼らが働いている組織の多くは、このような優先順位の大幅な変化に必要な変化にあまり賛成していません。
設計による敗北
長年にわたり、開発者は、組織における主な役割は、ビジネスが止まることもなく、顧客が眠ることもない、ペースの速い環境でアプリを迅速に構築してデプロイすることだと言われてきました。開発者がコーディングを迅速に行えるほど、またデプロイできる機能が増えれば増えるほど、パフォーマンスレビューの観点から見られる価値が高まりました。
セキュリティは後から考えたもので、あくまで考慮されたものです。その代わり、すべてはアプリケーションセキュリティ (AppSec) チームに任されていました。AppSecチームは、セキュリティパッチを適用したり、脆弱性を修復するためのコードを書き直したりするために、完成したアプリケーションを開発部門に送り返すことが多かったため、ほとんどの開発者に嫌われていました。さらに、開発者がすでに「完成」したアプリケーションの開発に費やす1時間ごとに、新しいアプリケーションや機能を作成していなかったため、パフォーマンス (特に厳しい企業から見た場合の価値) が低下していました。
そして、脅威環境により、ほとんどの企業にとってセキュリティの重要性と優先順位が変わりました。最近によると データ漏えいのコストレポート IBMとPonemon Instituteによると、サイバーセキュリティ侵害による被害額は、1件あたり平均約380万ドルですが、これは上限には達していません。ある企業だけでも、自社のネットワークが侵害され、13億ドルの損失を被りました。今日の企業はDevSecOpsが提供するセキュリティを望んでいますが、悲しいことに、その要求に応えた開発者に報いるのは遅れています。
開発チームにセキュリティを考慮するよう指示するだけではうまくいきません。特に、スピードだけでインセンティブを与えられている場合はなおさらです。実際、このようなシステムでは、時間をかけてセキュリティについて学び、コードを安全に保護する開発者が、セキュリティ意識の低い同僚が引き続き獲得している、より優れたパフォーマンスレビューや有利なボーナスを得られない可能性があります。これは、企業が自社のセキュリティ障害に備えて、知らず知らずのうちにシステムを不正操作しているようなものです。開発チームに対する企業の認識にもよります。彼らが彼らをセキュリティの最前線と見なさなければ、従業員を活用する実行可能な計画が実現する可能性はほとんどありません。
そして、これはトレーニング不足を説明することすらできません。非常に熟練した開発者の中には、何十年もコーディングの経験があっても、セキュリティに関してはほとんど経験がない人もいます... 結局のところ、コーディングは決して義務付けられていませんでした。企業が熟練したプログラマーに優れたトレーニングプログラムを提供しない限り、開発者が突然新しいスキルを習得し、脆弱性を積極的に軽減する有意義な方法でそれを行動に移すことは期待できません。
優れたセキュリティ対策に対する開発者への報酬
幸いなことに、圧倒的多数の開発者が自分の仕事をしているのは、やりがいとやりがいを感じているからであり、自分の立場に敬意を払っているからです。生涯プロのコーダー、マイケル・シュピルト 最近書いた 彼と彼のコーディング同僚の開発作業におけるモチベーションのすべてがはい、彼はそれらのインセンティブの中に金銭的報酬を挙げていますが、驚くほどリストのはるか下にあります。代わりに、彼は何か新しいものを生み出すスリル、新しいスキルを学ぶスリル、そして自分の仕事が直接他の人を助けるために使われることを知ったときの満足感を優先しています。また、自分の会社や地域社会の中で大切にされていると感じたいとも話しています。要するに、開発者は自分の仕事に誇りを持つ多くの善良な人々のようなものです。
Shpiltなどの開発者は、攻撃者がコードを危険にさらし、それを利用して自社や支援しようとしているユーザーそのものに危害を加えることを望んでいません。しかし、サポートなしではいきなりセキュリティに優先順位を移すことはできません。そうしないと、システムが彼らに不利に働いてしまうようなものです。
開発チームがサイバーセキュリティ能力を向上させるためには、まず必要なスキルを教える必要があります。スキャフォールド型の学習や、ジャストインタイム (JIT) トレーニングなどのツールを活用することで、このプロセスの負担が大幅に軽減され、既存の知識を適切なコンテキストで構築できるようになります。
JItの原則は、開発者に適切な知識を適切なタイミングで提供することです。たとえば、JiT開発者向けトレーニングツールが、プログラマーが安全でないコードを作成したり、誤ってアプリケーションに脆弱性を導入したりしたことを検出した場合、開発者にその問題を解決する方法とその方法をアクティブにして示します。 より安全なコードを書く 将来同じ機能を果たすためです。
スキルアップへの取り組みが進んだら、開発者をスピードだけで評価する従来の方法を廃止する必要があります。その代わり、コーダーは安全なコードを作成する能力に基づいて報われるべきであり、最高の開発者はそうなるべきです。 セキュリティチャンピオン チームの他のメンバーのスキルを向上させるのに役立ちます。そして、そのようなチャンピオンには、会社の名声と金銭的報酬の両方が与えられる必要があります。また、開発者は通常、セキュリティに関してポジティブな経験をしているわけではないことを覚えておくことも重要です。ポジティブで楽しい学習や、自分の興味に訴えるインセンティブを提供することは、知識の定着とスキル構築を続けたいという願望の両方を確保するのに大いに役立ちます。
企業は今でも開発者の評価の一部としてコーディング速度を含めることができますが、安全なアプリケーションの開発には、特にコーダーが新しいスキルを学んでいるため、もう少し時間がかかる可能性があることを期待してください。
DevSecOpsは、ますます危険になる脅威環境におけるダークアートに対する究極の防御策となり得ます。ただし、この新しい世界のチャンピオン、つまり常に新しいコードを作成している開発者は、その仕事に対して敬意と報酬を受ける必要があることを忘れないでください。
あなたのセキュリティスキルを世界中の他の開発者と競い合ってみませんか?ぜひチェックしてみてください。 セキュア・コード・ウォリアーの デブリンピック 2021そして、私たちのグローバルトーナメントで大きな賞品を獲得できるかもしれません!
目次
Vorstandsvorsitzender, Chairman und Mitbegründer
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
