「セキュリティ」は汚い言葉ではない:ポジティブなアプローチがセキュリティプログラムをどのように変えるか
もともとはに掲載されました DevSecCon ブログ。
私は、セキュリティ・ベスト・プラクティスを守るうえで、開発チームとアプリケーション・セキュリティ・スペシャリストの間に生じる緊張関係について、両者の立場に立ってきたことをよく知っています。
難しいことです。結局のところ、開発者の最優先事項はソフトウェア機能の提供です。美しく、機能的で、アプリケーションの力をアピールできるものでなければなりません。最近ではアジャイル開発手法が一般的に行われているため、これらの機能は厳しい期限内に完成させる必要があります。また、セキュリティが懸念事項のリストの上位にあり、他にも多くのことが危機に瀕していることはめったにありません。
セキュリティはAppSecチームの領域と見なされています。AppSecチームは、コードをスキャンして(さらに悪いことに、1行ずつ手動で確認して)、コードが安全でないか、まったく使用できないことを開発チームに報告するといううらやましいほどの仕事をしています。彼らは自分たちの良い仕事をぶち壊し、イノベーションを阻害し、一般に開発者にとって頭痛の種となる泥棒のような存在です。結局のところ、セキュリティ問題の多くは非常に単純な解決策です。「おそらく、たった1行のコードで、脆弱なバックドアを数分で強化できるでしょう。
しかし、ここに問題があります。「セキュリティ」はネガティブな体験と同義語なので、開発者は本来あるべきほど密接に関わっていないだけです。このような一行の修正は行われていません。結局のところ、AppSecの担当者は常に同じ問題に遭遇しているのです。私たちが最初にSQLインジェクションの欠陥を発見 (およびその後の修正) してから20年以上経った今でも、彼らがSQLインジェクションの欠陥を指摘しているのはかなり腹立たしいことでしょう。
これまでに行ったことは、期待していたほど効果的に機能していません。私たちは、開発者とアプリケーション・セキュリティ・スペシャリストの間の架け橋を修復することに注力し、開発者がこの分野で真のインパクトをもたらすためのツールとトレーニングを受けられるような、ポジティブなセキュリティ文化の構築に努める必要があります。
誰が知っている?私のように彼らも好きになるかもしれない!
ポジティブ・セキュリティは、アプリケーション・セキュリティを向上させる最も迅速で簡単な方法です
「シティ」と、いや、目に見えない成果については大げさではありません。これは、安全なコーディングを成功に導くための絶対不可欠な要素です。
開発者は、最初に安全なコードを書くことによって、本番環境の最初からセキュリティを向上させる鍵を握っています。ポジティブなセキュリティ文化を醸成し、開発者がアプリケーションのセキュリティにワクワクするようになれば、AppSecの領域でスキャンや手動によるコードレビューを受ける前に、一般的な脆弱性を一掃できます。
それは すでにコミットされているコードの脆弱性を修正すると、30 倍の費用がかかるしたがって、開発者の強みを生かし、関心を持ち、実際に機能するトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来のコスト削減における大きな一歩となります。
開発者に焦点を当てた積極的な取り組みは、適切なセキュリティ文化を育みます。
全員がセキュリティのベストプラクティスを理解していれば、ポジティブなセキュリティ文化は幸せで不可欠な副産物になります。
積極的でスケーラブルな開発者中心の取り組みは、適切なセキュリティ文化を育みます。開発者を勝利に導くためには、問題解決能力と創造性を備えた開発者の意欲を引き付けることが不可欠です。また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにすることも重要です。 連絡を取る 開発者のセキュリティ関係がどのように発展してきたかについての概要と、セキュリティ意識向上プログラムを組織で成功させるためのアイデアを紹介します。
私は、セキュリティ・ベスト・プラクティスを守るうえで、開発チームとアプリケーション・セキュリティ・スペシャリストの間に生じる緊張関係について、両者の立場に立ってきたことをよく知っています。しかし、もっと良いアプローチはあります。
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
もともとはに掲載されました DevSecCon ブログ。
私は、セキュリティ・ベスト・プラクティスを守るうえで、開発チームとアプリケーション・セキュリティ・スペシャリストの間に生じる緊張関係について、両者の立場に立ってきたことをよく知っています。
難しいことです。結局のところ、開発者の最優先事項はソフトウェア機能の提供です。美しく、機能的で、アプリケーションの力をアピールできるものでなければなりません。最近ではアジャイル開発手法が一般的に行われているため、これらの機能は厳しい期限内に完成させる必要があります。また、セキュリティが懸念事項のリストの上位にあり、他にも多くのことが危機に瀕していることはめったにありません。
セキュリティはAppSecチームの領域と見なされています。AppSecチームは、コードをスキャンして(さらに悪いことに、1行ずつ手動で確認して)、コードが安全でないか、まったく使用できないことを開発チームに報告するといううらやましいほどの仕事をしています。彼らは自分たちの良い仕事をぶち壊し、イノベーションを阻害し、一般に開発者にとって頭痛の種となる泥棒のような存在です。結局のところ、セキュリティ問題の多くは非常に単純な解決策です。「おそらく、たった1行のコードで、脆弱なバックドアを数分で強化できるでしょう。
しかし、ここに問題があります。「セキュリティ」はネガティブな体験と同義語なので、開発者は本来あるべきほど密接に関わっていないだけです。このような一行の修正は行われていません。結局のところ、AppSecの担当者は常に同じ問題に遭遇しているのです。私たちが最初にSQLインジェクションの欠陥を発見 (およびその後の修正) してから20年以上経った今でも、彼らがSQLインジェクションの欠陥を指摘しているのはかなり腹立たしいことでしょう。
これまでに行ったことは、期待していたほど効果的に機能していません。私たちは、開発者とアプリケーション・セキュリティ・スペシャリストの間の架け橋を修復することに注力し、開発者がこの分野で真のインパクトをもたらすためのツールとトレーニングを受けられるような、ポジティブなセキュリティ文化の構築に努める必要があります。
誰が知っている?私のように彼らも好きになるかもしれない!
ポジティブ・セキュリティは、アプリケーション・セキュリティを向上させる最も迅速で簡単な方法です
「シティ」と、いや、目に見えない成果については大げさではありません。これは、安全なコーディングを成功に導くための絶対不可欠な要素です。
開発者は、最初に安全なコードを書くことによって、本番環境の最初からセキュリティを向上させる鍵を握っています。ポジティブなセキュリティ文化を醸成し、開発者がアプリケーションのセキュリティにワクワクするようになれば、AppSecの領域でスキャンや手動によるコードレビューを受ける前に、一般的な脆弱性を一掃できます。
それは すでにコミットされているコードの脆弱性を修正すると、30 倍の費用がかかるしたがって、開発者の強みを生かし、関心を持ち、実際に機能するトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来のコスト削減における大きな一歩となります。
開発者に焦点を当てた積極的な取り組みは、適切なセキュリティ文化を育みます。
全員がセキュリティのベストプラクティスを理解していれば、ポジティブなセキュリティ文化は幸せで不可欠な副産物になります。
積極的でスケーラブルな開発者中心の取り組みは、適切なセキュリティ文化を育みます。開発者を勝利に導くためには、問題解決能力と創造性を備えた開発者の意欲を引き付けることが不可欠です。また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにすることも重要です。 連絡を取る 開発者のセキュリティ関係がどのように発展してきたかについての概要と、セキュリティ意識向上プログラムを組織で成功させるためのアイデアを紹介します。
もともとはに掲載されました DevSecCon ブログ。
私は、セキュリティ・ベスト・プラクティスを守るうえで、開発チームとアプリケーション・セキュリティ・スペシャリストの間に生じる緊張関係について、両者の立場に立ってきたことをよく知っています。
難しいことです。結局のところ、開発者の最優先事項はソフトウェア機能の提供です。美しく、機能的で、アプリケーションの力をアピールできるものでなければなりません。最近ではアジャイル開発手法が一般的に行われているため、これらの機能は厳しい期限内に完成させる必要があります。また、セキュリティが懸念事項のリストの上位にあり、他にも多くのことが危機に瀕していることはめったにありません。
セキュリティはAppSecチームの領域と見なされています。AppSecチームは、コードをスキャンして(さらに悪いことに、1行ずつ手動で確認して)、コードが安全でないか、まったく使用できないことを開発チームに報告するといううらやましいほどの仕事をしています。彼らは自分たちの良い仕事をぶち壊し、イノベーションを阻害し、一般に開発者にとって頭痛の種となる泥棒のような存在です。結局のところ、セキュリティ問題の多くは非常に単純な解決策です。「おそらく、たった1行のコードで、脆弱なバックドアを数分で強化できるでしょう。
しかし、ここに問題があります。「セキュリティ」はネガティブな体験と同義語なので、開発者は本来あるべきほど密接に関わっていないだけです。このような一行の修正は行われていません。結局のところ、AppSecの担当者は常に同じ問題に遭遇しているのです。私たちが最初にSQLインジェクションの欠陥を発見 (およびその後の修正) してから20年以上経った今でも、彼らがSQLインジェクションの欠陥を指摘しているのはかなり腹立たしいことでしょう。
これまでに行ったことは、期待していたほど効果的に機能していません。私たちは、開発者とアプリケーション・セキュリティ・スペシャリストの間の架け橋を修復することに注力し、開発者がこの分野で真のインパクトをもたらすためのツールとトレーニングを受けられるような、ポジティブなセキュリティ文化の構築に努める必要があります。
誰が知っている?私のように彼らも好きになるかもしれない!
ポジティブ・セキュリティは、アプリケーション・セキュリティを向上させる最も迅速で簡単な方法です
「シティ」と、いや、目に見えない成果については大げさではありません。これは、安全なコーディングを成功に導くための絶対不可欠な要素です。
開発者は、最初に安全なコードを書くことによって、本番環境の最初からセキュリティを向上させる鍵を握っています。ポジティブなセキュリティ文化を醸成し、開発者がアプリケーションのセキュリティにワクワクするようになれば、AppSecの領域でスキャンや手動によるコードレビューを受ける前に、一般的な脆弱性を一掃できます。
それは すでにコミットされているコードの脆弱性を修正すると、30 倍の費用がかかるしたがって、開発者の強みを生かし、関心を持ち、実際に機能するトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来のコスト削減における大きな一歩となります。
開発者に焦点を当てた積極的な取り組みは、適切なセキュリティ文化を育みます。
全員がセキュリティのベストプラクティスを理解していれば、ポジティブなセキュリティ文化は幸せで不可欠な副産物になります。
積極的でスケーラブルな開発者中心の取り組みは、適切なセキュリティ文化を育みます。開発者を勝利に導くためには、問題解決能力と創造性を備えた開発者の意欲を引き付けることが不可欠です。また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにすることも重要です。 連絡を取る 開発者のセキュリティ関係がどのように発展してきたかについての概要と、セキュリティ意識向上プログラムを組織で成功させるためのアイデアを紹介します。
Klicken Sie auf den folgenden Link, um die PDF-Datei dieser Ressource herunterzuladen.
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
Bericht anzeigenデモを予約
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
もともとはに掲載されました DevSecCon ブログ。
私は、セキュリティ・ベスト・プラクティスを守るうえで、開発チームとアプリケーション・セキュリティ・スペシャリストの間に生じる緊張関係について、両者の立場に立ってきたことをよく知っています。
難しいことです。結局のところ、開発者の最優先事項はソフトウェア機能の提供です。美しく、機能的で、アプリケーションの力をアピールできるものでなければなりません。最近ではアジャイル開発手法が一般的に行われているため、これらの機能は厳しい期限内に完成させる必要があります。また、セキュリティが懸念事項のリストの上位にあり、他にも多くのことが危機に瀕していることはめったにありません。
セキュリティはAppSecチームの領域と見なされています。AppSecチームは、コードをスキャンして(さらに悪いことに、1行ずつ手動で確認して)、コードが安全でないか、まったく使用できないことを開発チームに報告するといううらやましいほどの仕事をしています。彼らは自分たちの良い仕事をぶち壊し、イノベーションを阻害し、一般に開発者にとって頭痛の種となる泥棒のような存在です。結局のところ、セキュリティ問題の多くは非常に単純な解決策です。「おそらく、たった1行のコードで、脆弱なバックドアを数分で強化できるでしょう。
しかし、ここに問題があります。「セキュリティ」はネガティブな体験と同義語なので、開発者は本来あるべきほど密接に関わっていないだけです。このような一行の修正は行われていません。結局のところ、AppSecの担当者は常に同じ問題に遭遇しているのです。私たちが最初にSQLインジェクションの欠陥を発見 (およびその後の修正) してから20年以上経った今でも、彼らがSQLインジェクションの欠陥を指摘しているのはかなり腹立たしいことでしょう。
これまでに行ったことは、期待していたほど効果的に機能していません。私たちは、開発者とアプリケーション・セキュリティ・スペシャリストの間の架け橋を修復することに注力し、開発者がこの分野で真のインパクトをもたらすためのツールとトレーニングを受けられるような、ポジティブなセキュリティ文化の構築に努める必要があります。
誰が知っている?私のように彼らも好きになるかもしれない!
ポジティブ・セキュリティは、アプリケーション・セキュリティを向上させる最も迅速で簡単な方法です
「シティ」と、いや、目に見えない成果については大げさではありません。これは、安全なコーディングを成功に導くための絶対不可欠な要素です。
開発者は、最初に安全なコードを書くことによって、本番環境の最初からセキュリティを向上させる鍵を握っています。ポジティブなセキュリティ文化を醸成し、開発者がアプリケーションのセキュリティにワクワクするようになれば、AppSecの領域でスキャンや手動によるコードレビューを受ける前に、一般的な脆弱性を一掃できます。
それは すでにコミットされているコードの脆弱性を修正すると、30 倍の費用がかかるしたがって、開発者の強みを生かし、関心を持ち、実際に機能するトレーニングを見つけることは、繰り返し発生する脆弱性を特定して修正するための将来のコスト削減における大きな一歩となります。
開発者に焦点を当てた積極的な取り組みは、適切なセキュリティ文化を育みます。
全員がセキュリティのベストプラクティスを理解していれば、ポジティブなセキュリティ文化は幸せで不可欠な副産物になります。
積極的でスケーラブルな開発者中心の取り組みは、適切なセキュリティ文化を育みます。開発者を勝利に導くためには、問題解決能力と創造性を備えた開発者の意欲を引き付けることが不可欠です。また、新入社員がチームのセキュリティに対する期待に迅速に対応できるようにすることも重要です。 連絡を取る 開発者のセキュリティ関係がどのように発展してきたかについての概要と、セキュリティ意識向上プログラムを組織で成功させるためのアイデアを紹介します。
目次
Jaap Karan Singhは、セキュア・コーディング・エバンジェリストであり、チーフ・シンであり、セキュア・コード・ウォリアーの共同創設者です。
Secure Code Warrior schützt Ihren Code während des gesamten Softwareentwicklungszyklus und hilft Ihnen dabei, eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Ganz gleich, ob Sie Anwendungs-Sicherheitsmanager, Entwickler, CISO oder Sicherheitsbeauftragter sind – wir helfen Ihnen dabei, die mit unsicherem Code verbundenen Risiken zu minimieren.
デモを予約[ダウンロード]Ressourcen für den Einstieg
Themen und Inhalte der Secure-Code-Schulung
Unsere branchenführenden Inhalte werden unter Berücksichtigung der Aufgaben unserer Kunden ständig weiterentwickelt, um mit der sich ständig verändernden Softwareentwicklungsumgebung Schritt zu halten. Sie decken alle Themen von KI bis hin zu XQuery-Injection ab und sind für verschiedene Aufgabenbereiche konzipiert, von Architekten und Ingenieuren bis hin zu Produktmanagern und Qualitätssicherungsfachleuten. Werfen Sie einen Blick auf die Inhalte unseres Content-Katalogs, sortiert nach Themen und Aufgabenbereichen.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
「Cybermon 2025 Beat the Boss」 kann nun das ganze Jahr über bei SCW gespielt werden. Führen Sie anspruchsvolle AI/LLM-Sicherheitsherausforderungen ein, um die sichere AI-Entwicklung in großem Maßstab zu stärken.
Erläuterung des Cyber-Resilience-Gesetzes: Bedeutung für die Entwicklung sicherer Software
Erfahren Sie, was das EU-Gesetz zur Cyberresilienz (CRA) verlangt, für wen es gilt und wie sich Ingenieurteams auf Secure-by-Design-Praktiken, Schwachstellenprävention und die Kompetenzentwicklung von Entwicklern vorbereiten können.
Enabler 1: Definierte und messbare Erfolgskriterien
Enabler 1 ist der erste Teil der zehnteiligen Reihe „Enablers of Success“ und zeigt, wie sichere Programmierung mit geschäftlichen Ergebnissen wie Risikominderung und Geschwindigkeit verknüpft werden kann, um Programme langfristig zu optimieren.
