開発者はリスクの第一線なのか、それとも防御の最前線なのか?当社のセキュア・コーディング・チェックリストに照らして御社を評価してください
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
公的機関であれ商業団体であれ、どのような組織であっても、保証できることが2つあります。1つ目は、製品やサービスのデジタル化が進んでいることです。つまり、ソフトウェア開発者がコード行を作成することになります。第二に、これらのデジタルビジネスは、よりダイナミックでグローバルな世界で事業を展開する中で、従来型および非従来型の競合企業からの圧力にさらされています。
このような環境の中で、CIOは新しいイノベーターとなり、権力と影響力のある立場にあります。しかし、市場投入までの時間を短縮し、品質を高め、柔軟性を高めるという強い圧力により、開発チームは複雑で分散し、発生する可能性のある脆弱性を認識せずに機能を迅速に開発することに重点を置くようになっています。
これまで以上に、新しい働き方が求められています。Equifaxが最近漏洩した後の核被害を見るだけでよいのだが、これはコーディングの安全性が低いことが原因だ。CIOとCISOは、開発チームがリスクの最前線なのか、それとも自社のセキュリティチャンピオンであり、自社の真の「最前線」であるのかを慎重に検討する必要があります。
このセキュア・コーディング・チェックリストを作成したのは、貴社が開発チームを、より速く、より良く、より安全なコードでイノベーションを起こす手助けとなる、セキュア・コーディングのチャンピオンとして開発チームを育成できているかどうかをCIOやCISOが検討するためです。
1。貴社の経営幹部は、従来のネットワークセキュリティだけでは不十分だと認識していますか?
従来のセキュリティ対策を使用してネットワーク層を保護するだけではもはや十分ではなく、セミプロのハッカーに対しても成功することはほとんどありませんでした。Verizonの「2017年データ漏えい調査報告書」によると、現在報告されている多くの報告の中で、今日のデータ漏えいの 35% はウェブアプリケーションの脆弱性が原因であるとのことです。Web アプリケーションのセキュリティは、ネットワークセキュリティと同じくらい重要です。
2。セキュリティについては最初から考えていますか?
現在のアプリケーションセキュリティツールは、ソフトウェア開発ライフサイクル(SDLC)の右から左への移動に重点を置いています。このアプローチは検出と対応をサポートします。つまり、セキュリティチームは記述されたコード内の脆弱性を検出し、それに対応して修正します。米国国立標準技術研究所 (NIST) によると、コミットされたコード内の脆弱性を検出して修正する方が、IDE でコードを書くときに脆弱性を防ぐ場合よりも 30 倍の費用がかかります。問題の修正に時間がかかることは言うまでもありません。セキュアコードチャンピオンはSDLCの最左端からスタートし、開発者にセキュアコーディングのトレーニングを継続的に行うことに重点を置いています。そうすることで、彼らは組織の最前線となり、そもそも脆弱性を防ぐことができます。
3。知識を養うだけでなく、実際にセキュリティスキルを身につけていますか?
ほとんどのトレーニングソリューション(オンラインおよびクラスルーム)は、スキルの構築よりも知識の構築に重点を置いています。開発者が安全なコードを書くためには、安全なコーディングスキルの学習と構築に積極的に取り組む実践的な学習を定期的に受ける必要があります。開発者は、最近特定された脆弱性について、実際のコードで、また自分の言語やフレームワークで学ぶ必要があります。この学習経験は、コード内の既知の脆弱性を特定、特定、修正する方法を理解するのに役立つはずです。
4。セキュア・コーディング・スキルをリアルタイムの指標で測定していますか?
開発者のセキュアコーディングスキルが向上していることを開発者とその組織に証明する証拠を作成することが重要です。測定できないものは改善できません。評価は、開発チームの進捗状況をリアルタイムで把握し、セキュアコーディングの長所と短所のベンチマークに役立つはずです。
5。アウトソーシングしたサプライヤーが安全なコーディング技術を適用していると確信していますか?
多くの組織は、開発業務を大規模なオンショアまたはオフショアの開発会社に委託することを決定しています。最良のケースでは、組織がセキュリティに関して求める唯一の保証形態は、成果物が「安全」であることを契約書に明記することです。実際にこれらの開発会社のスキルを前もって検証した結果、適切なセキュア・コーディング・プラクティスに従っていないソフトウェアになってしまうケースはほとんどありません。最悪のシナリオは、開発者がそのことを知らずにアプリケーションを公開してしまうことです。最も一般的なシナリオは、専任のスペシャリスト (有償) に依頼され、本番稼働の遅れや、これらのセキュリティ上の弱点を修正するために誰が費用を負担すべきかについての契約上の話し合いに直面するケースです。事前に賢明に行って、次のアプリケーションを構築する開発者のアプリケーション・セキュリティ・スキルを評価してください。
6。開発者は最も一般的なセキュリティ上の弱点を認識していますか?
悪用されたWebアプリケーションの脆弱性の 85.5% は、「OWASP Top 10」の「既知の脆弱性」のわずか10件に起因しています。アプリケーション・セキュリティ・トレーニングでは、これらの脆弱性を最低限カバーし、さらに多くの種類の脆弱性をカバーする必要があります。開発者が取り組む課題は、新しいコーディングフレームワークや新しい脆弱性タイプのいずれについても、新しい課題に合わせて継続的に修正および更新する必要があります。
7。社内にセキュリティチャンピオンはいますか?
開発者が多い組織は、開発チーム内のセキュリティを擁護してくれる人に投資すべきです。その目的は、セキュリティに関する疑問を持つすべての人のサポート窓口となることだけでなく、チーム内で安全なコーディングと安全なアーキテクチャの実践を提唱することでもあります。
8。開発者がセキュアコーディングを簡単にするためのツールに投資したことはありますか?
アプリケーションへの変更が多い環境やアジャイル開発が行われている環境では、そのペースと量に対応するためにセキュリティの一部を自動化することが不可欠です。開発ライフサイクルの各段階には、アドバイザー、品質ゲート、または検出ツールとして機能するツールがあります。特定の種類のセキュリティバグに焦点を当て、開発者がコードを書いている間はスペルチェッカーのように動作する IDE プラグインが必要です。コードリポジトリにコードが送信されるときに特定の種類の弱点を検出するビルドプロセスと統合するツールもあります。また、コードに対して自動テストを実行するツールもあり、ソフトウェアが本番環境に入るとハッキング手法をシミュレートします。どのツールにも独自の利点と課題があり、セキュリティ上の問題がないことを 100% 保証できるものはありません。ゴールデンルールは、弱点を早期に発見すればするほど、ビジネスへの影響を最小限に抑えながら短時間で低コストで弱点を修正できるということです。
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
あなたの組織はこのチェックリストにどのような違反をしましたか?
CIOが企業のアジャイル能力を積極的に構築するにつれて、安全なコーディングスキルはイノベーションの武器となり、持たないことは破壊の手段となるでしょう。この重要な機能をスキップする前に、よく考えてください。
Índice
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
